이스트시큐리티(대표 정상원)가 최근 '탈륨'과 '금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있다며, 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)가 새롭게 발견한 APT 공격은 ▲통일부 사칭 악성 이메일 공격과 ▲평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격이다.

먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만, 실제로는 첨부 파일이 아닌 악성 링크를 활용한 공격이다.

공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되어 있고, 이미지 하단에 PDF 문서가 첨부되어 있는 것처럼 링크가 삽입돼 클릭을 유도한다.

이 첨부파일 링크를 클릭하면 문서가 보이는 대신 메일 수신자의 이메일 계정 암호 입력을 요구하는 화면이 나타난다.

이때 계정 암호를 입력하게 되면 정보가 공격자에게 탈취돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 계정을 도용해 주변인에게 피싱 메일까지 발송되는 등 2차 피해로 이어질 가능성이 크다.  

새롭게 발견된 또 다른 공격은 춘천시 주관으로 실제 개최하는 '평화∙통일 이야기 공모전' 참가 신청서를 사칭한 악성 HWP 문서를 활용하고 있다. 

다만 실제 올해 개최되는 공모전의 정식 명칭은 '2020 평화∙통일 이야기 공모전'이지만, 발견된 악성 문서에는 '2021 평화∙통일 이야기 공모전' 참가 신청서로 기재되어 있어 공격자가 개최 연도만 교묘히 조작한 것으로 확인되었다.

공격자는 이번 공격에서 한컴오피스 한글 프로그램의 '객체 연결 삽입(OLE, Object Linking and Embedding)' 기능을 악용했다. 

참가 신청서 문서에는 내용 전체를 덮는 크기의 투명 OLE 객체가 삽입되어 있으며, 사용자가 문서 편집을 위해 클릭하면 공격자가 OLE 객체에 미리 심어둔 악성코드가 실행되는 방식이다.

이러한 공격 방식은 포스트스크립트(PostScript) 방식과 동일하게 문서 파일 자체 취약점을 악용하지 않기 때문에, 최신 버전의 프로그램을 사용하거나 보안 업데이트를 모두 적용한 경우에도 악성코드가 실행될 가능성이 크다.

ESRC는 새롭게 발견된 이메일 피싱 공격과 HWP 악성 문서 공격의 배후로, 북한 정부가 공식적으로 연계된 것으로 알려진 해킹 조직 '탈륨(Thallium)'과 '금성121(Geumseong121)'을 각각 지목했다.

또한 이 해킹 조직은 한국과 미국 등지에서 활동하는 지능형지속위협(APT) 그룹 중 가장 활발한 첩보 활동을 전개하고 있으며, 최근에는 코로나19 치료제를 연구하는 국내외 대표 제약사 대상 해킹, 국내 암호화폐 거래 관계자와 과학기술 분야 교육 관계자 공격 등을 시도했다고 밝혔다.

이스트시큐리티 ESRC센터장 문종현 이사는 “탈륨 등 북한 연계 APT 공격 조직의 대남 사이버 공격이 전방위적으로 활발하게 진행되고 있어, 민관의 각별한 주의와 대비가 필요하다”며, “코로나19 재확산에 따라 사회적 거리두기가2.5단계로 상향되며, 기업과 기관의 재택근무 실시가 증가하는 추세와 맞물려 사이버 위협 수위도 높아졌기 때문에, 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때다”고 당부했다.

이어 문 이사는 “탈북민이나 유관 민간단체 종사자가 사이버 보안 사각지대가 되지 않도록 더 많은 관심과 지원이 필요하다”며, “공격자가 단순 개인이 아닌 국가 차원에서 체계적으로 활동하기 때문에, 반드시 국가 사이버 안보 측면에서 해결 방안을 모색하고 접근해야 한다”라고 덧붙였다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 자사 백신프로그램 알약(ALYac)에 'Trojan.Hwp.223232A' 탐지명으로 긴급 업데이트 완료했으며, 후속 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.