北 추정 해커, 새 공격 징후…‘개성공단 보고서’ 사칭해 유포

탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면(이스트시큐리티 제공)© 뉴스1

이스트시큐리티는 해킹조직 ‘탈륨(Thallium)’의 새로운 지능형 지속 위협(APT) 공격 징후가 포착됐다고 3일 밝혔다. 탈륨은 북한을 배후에 둔 것으로 알려진 해킹 조직으로, 지난해 12월 미국 마이크로소프트(MS)사가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려졌다.

이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨 조직이 사용한 이메일 계정에 일부 국내 서비스 주소가 포함돼 있고, 이메일 계정을 비트코인 키워드를 아이디로 사용하거나 과거 국내에서 보고된 악성 파일과 연관된 것으로 분석했다.

ESRC는 또 탈륨 조직이 제작한 것으로 보이는 여러 종의 최신 악성 파일을 발견했다.

발견된 악성 파일은 Δ‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’을 담은 문서 Δ‘아시아/태평양 지역의 학술 연구논문 투고 규정’ 문서 등을 사칭해 유포되고 있다.

탈륨 조직은 그동안 ‘.hwp’, ‘.docx’ 등 한글이나 워드 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송해왔다. 이번에 발견된 악성 파일은 EXE 실행 파일을 사용해 아이콘이나 파일 확장자만 문서로 눈속임해 파일을 실행하도록 유도했다.

같은 시기에 발견된 악성 파일 중 일부는 감염된 PC의 정보를 은밀히 빼돌리는 사이버 스파이 행위를 수행했던 것으로 보아 이들은 타깃을 대상으로 정보를 탈취하려 했던 것으로 보인다.

이스트시큐리티는 자사 백신 프로그램 알약에 관련된 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했다. 아울러 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다.

문종현 이스트시큐리티 ESRC센터장 이사는 “특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자로 등재돼 있다”며 “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했다.

 (서울=뉴스1)