바이든 행정부 출범 기획 설문 위장한 공격 등장 ‘탈륨’ 조직 소행 추정
최근 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행중인 것으로 확인되어 각별한 주의가 필요합니다.
해당 공격 배후로는 국제사회에 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’이 지목되었으며, 해당 그룹은 2021년에도 가장 활발하게 공격을 수행 중인 지능형지속위협(APT) 그룹 중 하나입니다.
2019년말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 김수키(Kimsuky)라는 별칭도 가지고 있는 탈륨 조직은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있으며, 대북 분야 민간단체나 정치·외교·안보·통일·국방 전현직 관계자를 대상으로 광범위한 사이버 침투 활동을 전개하고 있습니다.
특히 북한과 관련된 내용을 취재하거나 연구하는 주요 언론사 기자나 대학교수 등도 꾸준히 공격을 받는 것으로 확인되고 있습니다.
이번 공격은 2021년 01월 18일 발견됐으며, 마치 바이든 행정부 출범과 외교 안보 정책에 대한 설문지 문서처럼 사칭한 것으로 나타났습니다.
악성 DOC문서가 처음 실행되면 악성 매크로 기능을 허용하도록 오피스 업데이트로 가장한 허위 영문 메시지를 띄어 [콘텐츠 사용] 버튼을 클릭하도록 유도했습니다. 만약 이용자가 해당 내용에 현혹되어 [콘텐츠 사용] 버튼 클릭을 누르면, 매크로에 포함된 악성 명령이 동작하게 되어 예기치 못한 해킹 피해로 이어질 수 있게 됩니다.
분석 결과, 사용자가 문서 내용을 확인하기 위해 [콘텐츠 사용] 버튼을 누르면 내부에 숨겨진 악성 매크로 기능이 작동하면서 컴퓨터에 설치된 백신프로그램 정보 등을 수집하고 ‘majar.medianewsonline[.]com서버와 통신하며 정보 탈취와 추가 악성파일 다운로드를 시도합니다. 해당 서버는 탈륨 조직의 ‘페이크 스트라이커’ APT 캠페인에서 자주 목격된 호스팅 서비스와 일치합니다.
추가로 다운로드 시도되는 페이로드 기능의 악성 파일(pay1.down)은 사용자 정보를 수집해 공격자에게 고스란히 전송하는 전형적인 스파이웨어 활동을 하게 됩니다.
더불어 동일한 공격 조직들은 지난 금요일 ‘통일연구원’ 발신지처럼 정교하게 조작해 대북 분야 전문가 상대로 해킹 이메일을 대거 유포했는데, 본문에 포함된 연구동향 이미지를 클릭할 경우 특정 피싱 서버 ‘naver.servehttp[.]com’ 주소로 접속해 이메일 암호 입력을 유도합니다. 만약 이용자가 암호를 입력할 경우 공격자에게 탈취되고, 정상 PDF 문서가 다운로드 되어 피해 사실을 인지하지 못하게 만드는 전략을 구사하고 있습니다.
전문가들에 따르면, 2021년에도 탈륨 조직의 사이버 안보 위협 활동이 꾸준히 진행되고 있으며, 한국의 정부 기관을 사칭하는 등 갈수록 과감하고 노골적인 수법으로 다양한 사이버 공격이 전개되고 있습니다. 국제사회에서 북한과 연계된 것으로 알려진 탈륨 조직의 위협 수위는 갈수록 증대되고 있어 유사한 공격에 노출되지 않도록 민관의 각별한 주의와 관심이 요구됩니다.
또한 최근 공격자들이 일정기간 정상 이메일을 보내 상호 신뢰도를 높게 만든 후, 악성 파일이나 URL 링크를 보내는 등 사전에 치밀하게 준비된 시나리오 기반의 시간차 공격을 구사하거나, 이메일 자체 취약점을 개발하는 등 공격 기법이 지능화되고 있어 항상 의심하고 조심하는 보안 의식이 필요합니다.
이스트시큐리티는 새롭게 발견된 악성 파일을 백신프로그램 알약(ALYac)에 ‘Trojan.Downloader.DOC.Gen’ 탐지명으로 긴급 추가하였고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있습니다.