이스트시큐리티, 北 관련 논문 위장한 APT 공격 포착…"배후는 '탈륨'"

글자 작게 글자 크게 인쇄하기
해킹조직 탈륨이 제작한 것으로 분석되는 악성 파일 화면. ESRC 제공
<해킹조직 탈륨이 제작한 것으로 분석되는 악성 파일 화면. ESRC 제공>

이스트시큐리티 시큐리티대응센터(ESRC)가 해킹조직 '탈륨'이 제작한 것으로 추정되는 악성 파일 여러 건을 발견하고 이용자 주의를 당부했다. '탈륨'이 새로운 지능형지속위협(APT) 공격에 나선 것으로 분석된다.

악성 파일은 '개성공단 근무 경험자가 인식한 북한 근로자 특성과 그에 따른 관계 형성 전략 연구'와 '아시아·태평양 지역 학술 연구 논문 투고 규정' 등으로 위장했다.

이번 파일은 아이콘과 파일 확장자가 문서 파일인 것처럼 조작된 실행 파일로 확인됐다. 지금까지 '탈륨'은 한글과 워드 문서에 악성코드를 교묘히 삽입, 이메일 첨부 파일로 유포하는 수법을 썼는데 이와 다른 형태다.

동작하지 않는 악성코드가 여러 건 삽입된 특징도 나타났다. ESRC는 동작하지 않는 악성코드가 보안 제품 사전 탐지 테스트를 위한 목적으로 치밀하게 의도된 것인지, 제작자 실수 때문인지 분석 중에 있다.

악성 파일 일부는 개인용컴퓨터(PC) 정보를 유출하는 것으로 확인됐다. 공격 표적은 이 분야 연구원과 종사자일 가능성이 높다.

일부 문서에서는 'zhaozhongcheng'이라는 계정이 발견됐는데 이는 기존 '탈륨' 공격과 연관된다. 이외에도 명령제어(C2) 서버와 악성 파일 간 통신 체계가 '탈륨' 방식과 정확히 일치했으며 일부 서버는 기존 APT 캠페인과 동일한 흐름으로 나타났다.

문종현 ESRC 센터장은 “'탈륨'은 한국과 미국에서 APT 공격 활성화 정도가 매우 높은 위협 행위자”라면서 “정치, 외교, 안보, 통일, 국방, 대북 분야 종사자가 공격에 노출되는 상황으로 보안 의식 강화와 각별한 주의가 요구된다”고 경고했다.

문 센터장은 “'탈륨'은 설문조사와 서류 심사, 행사 초대 등을 미끼로 악성 이메일을 발송한다”면서 “이와 유사한 이메일을 수신할 경우 보안업체에 자문을 요청하거나 유관기관에 적극 신고해 피해를 예방해야 한다”고 강조했다.

이스트시큐리티는 현재 백신 프로그램 '알약'에 이들 악성 파일을 탐지·차단하기 위한 긴급 업데이트를 완료했으며 관련 부처와 공조 체제를 가동하고 있다.

한편 '탈륨'은 지난해 12월 미국 마이크로소프트(MS)가 버지니아주 연방법원에 정식 고소장을 제출하면서 명명한 해킹조직이다. 북한 해킹조직 '김수키'와 연관이 있거나 동일한 조직으로 추정된다.

오다인기자 ohdain@etnews.com