北, 바이든 행정부 설문 사칭해 해킹 공격…정보 탈취 '주의'

미국 바이든 행정부 출범 기획 설문지로 위장한 악성 문서. 이스트시큐리티 제공
미국 바이든 행정부 출범 기획 설문지로 위장한 악성 문서. 이스트시큐리티 제공

이스트시큐리티가 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격을 포착하고 이용자 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 공격자는 이 같은 내용으로 악성 워드 문서를 꾸며 해킹을 시도했다. 문서를 열면 마이크로소프트(MS) 오피스 업데이트로 위장한 메시지를 나타낸 뒤 '콘텐츠 사용' 버튼을 클릭하도록 유도했다.

이 버튼을 클릭하면 악성 매크로 명령이 동작한다. 컴퓨터에 설치된 백신 프로그램 정보 등을 수집하고 명령제어(C2) 서버 통신으로 정보 탈취하며 추가 악성 파일 다운로드를 시도한다. 추가 악성 파일 역시 이용자 정보를 수집해 공격자에게 전송하는 스파이웨어로 분석됐다.

ESRC는 공격 배후로 '탈륨'을 지목했다. 탈륨은 북한 정부가 연계된 것으로 알려진 해킹 조직이다. 지능형지속위협(APT) 그룹 가운데 가장 활발한 움직임을 보이며 '김수키'와 동일한 조직으로 추정된다. 이들은 한국과 미국을 비롯한 세계 각지에서 외교·안보 분야 전·현직 관계자를 대상으로 광범위한 사이버 위협 활동을 펼친다.

탈륨은 지난 15일 대북 전문가를 대상으로 해킹 이메일을 대거 유포하기도 했다. 발신자를 '통일연구원'처럼 보이도록 정교하게 조작했다. 본문에 포함된 연구 동향 이미지를 클릭하면 피싱 서버로 연결, 이메일 암호를 입력하도록 했다. 암호를 빼내는 동시에 정상 PDF 문서를 다운로드해 이용자가 피해 사실을 인지하지 못하게 만들었다.

문종현 ESRC 센터장은 “탈륨에 의한 사이버 안보 위협이 지속되는 가운데 한국 정부기관을 사칭하는 등 갈수록 과감하고 노골적 수법을 보인다”면서 “최근에는 일정 기간 정상 이메일을 보내 신뢰를 높인 뒤 악성 파일과 인터넷주소(URL)를 보내는 등 시나리오 기반 시간차 공격을 구사한다”고 경고했다.

오다인기자 ohdain@etnews.com