北 해킹조직발 악성메일 기승… “외교·안보 관계자 겨냥”

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
국내 외교·안보·국방·통일 분야 전문가를 대상으로 한 사이버 표적 공격이 발견됐다. /사진=이미지투데이
국내 외교·안보·국방·통일 분야 전문가를 대상으로 한 사이버 표적 공격이 발견됐다. /사진=이미지투데이

최근 외교·안보·국방·통일 분야 종사자나 관계자를 겨냥한 이메일 해킹 시도가 이어지고 있어 주의가 요구된다.

20일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus)가 이번 공격의 배후로 지목된다.

이들은 주로 이메일에 악성 문서를 첨부하는 전통적인 공격 방식을 쓰지만 수신자를 현혹하기 위한 위협 시나리오가 나날이 정교해지고 있다. 일부 방위산업과 군사 전문가들도 공격에 노출된 것으로 분석됐다.

공격자가 설문지를 사칭해 발송한 이메일 화면 /사진제공=이스트시큐리티
공격자가 설문지를 사칭해 발송한 이메일 화면 /사진제공=이스트시큐리티

이번에 발견된 공격에서는 '안보 연구 평가 설문'을 사칭한 이메일 공격 수법을 썼다. 공격자가 수신자에게 최초로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부돼 수신자의 의심을 낮추고 신뢰도를 높였다. 다음 이메일에서 사례금 지급을 미끼로 악성 문서를 열람하도록 유도하는 ‘투트랙 스피어피싱’ 전략을 구사한 것으로 확인됐다.

ESRC는 최근 포착된 사례들에 대해 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다고 설명했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스다. 보안 기능이 높은 것으로 알려져 랜섬웨어 제작자들이 비트코인을 요구하거나 협상 시 활용한다. 사용자에게 프로톤 이메일로 평소와 다른 형태의 접근이 있다면 세심히 관찰할 필요가 있다는 설명이다.

‘프로그람’ 표현이 포함된 악성 문서 실행 화면 /사진제공=이스트시큐리티
‘프로그람’ 표현이 포함된 악성 문서 실행 화면 /사진제공=이스트시큐리티

라자루스 조직은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고, 이 데이터를 WIA_ConvertImage 매크로 함수를 통해 BMP 포맷으로 변환하는 공격 방식을 취했다. 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피(Steganography)’ 기법이다. 문서를 실행하면 내부에 숨겨둔 악성 스크립트가 호출되도록 하는 수법을 새로 썼다.

현재 이와 유사하게 ‘참가신청서양식.doc’, ‘생활비지급.doc’ 등 파일을 활용한 공격 사례가 포착되고 있다. 악성 매크로 기능이 실행되게끔 사용자가 ‘콘텐츠 사용’ 버튼을 누르도록 가짜 화면을 노출한다. 이 공격의 명령 제어(C2) 주소로 국내 웹사이트 일부도 악용됐다. 악성 파일 유포 초기에는 ‘프로그람’이라는 단어가 발견됐는데 이는 프로그램(Program)의 북한식 영어 표기다. 현재는 해당 문구 자체가 변경돼있다.

문종현 ESRC 센터장(이사)은 “북한 당국과 연계된 것으로 널리 알려진 탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”며 “최근에는 DOC 문서 매크로 공격이 상대적으로 많지만 HWP 문서 내부에 악성 OLE 개체를 삽입하는 방식도 관찰되고 있다. 반드시 최신 버전의 오피스 프로그램을 사용하고 보안 기능을 상향 설정하는 게 중요하다”고 말했다.
 

팽동현
팽동현 dhp@mt.co.kr  | twitter facebook

열심히 하겠습니다. 감사합니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 3153.32상승 31.2118:01 05/14
  • 코스닥 : 966.72상승 14.9518:01 05/14
  • 원달러 : 1128.60하락 0.718:01 05/14
  • 두바이유 : 68.71상승 1.6618:01 05/14
  • 금 : 66.56상승 1.0218:01 05/14
  • [머니S포토] 경총 예방 문승욱 "아무도 흔들 수 없는 제조강국 위상 다질 것"
  • [머니S포토] 김부겸 총리 '안심하고 백신 접종 하세요'
  • [머니S포토] 취임식서 박수치는 김부겸 신임 총리
  • [머니S포토] 총리 인준 강행 규탄항의서 전달하는 국민의힘
  • [머니S포토] 경총 예방 문승욱 "아무도 흔들 수 없는 제조강국 위상 다질 것"

커버스토리

정기구독신청 독자의견