[보안 따라잡기]`이건 또 뭐야` 새롭게 등장한 北 해킹조직 탈륨

[이데일리 이후섭 기자] 최근 북한 정부를 배후로 둔 것으로 추정되는 해킹 조직의 사이버 공격이 기승을 부리는 가운데 `탈륨` 조직의 활동이 눈에 띈다. 국내 대북 대북 분야 활동가들을 대상으로 악성 메일을 유포할 뿐만 아니라 최근에는 개성공단 근무자 관계 연구, 아태지역 연구논문 투고 규정으로 사칭한 공격도 발견돼 주의가 요구된다.

5일 보안 업계에 따르면 탈륨 조직은 지나해 12월 12월 미국 마이크로소프트(MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다. 지난 8월 26일 MS는 탈륨 피고인이 출석하지 않은 공석 상태로 진행하는 궐석 재판을 요청했고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝힌 바 있다.

국내 보안 전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨 조직을 북한 배후로 추정되는 `김수키` 조직의 연장선으로 분석하고 있다. MS가 소환장을 보낸 이메일 중 일부는 이미 ESRC에서 지난해 김수키 및 코니 조직의 공격을 분석한 내용의 계정과 정확히 일치한다.

탈륨 조직은 국내 방위산업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있다. 문종현 ESRC센터장은 “탈륨 조직은 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”며 “대부분의 기관이나 기업에서 공식적으로 발표를 못하는 상황일 뿐이지, 공개되지 않은 공격은 너무 많다”고 설명했다.

탈륨 조직의 지능형지속위협(APT) 공격 수법이 갈수록 다양화·고도화되는 추세이기에 보다 각별한 주의가 요구된다. 지난달에 보고된 공격 사례는 이메일 서비스 보안팀이 계정 오류 확인 요청으로 보낸 공식 내용처럼 위장했으며, 본인 확인을 유도해 암호를 탈취시도하는 수법을 활용했다.

또 국내 대기업에서 제공하는 클라우드 갤러리 서비스를 사칭해 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하기도 했다. 이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인됐다는 안내와 함께, 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 `자주 묻는 질문`을 보여준다. 해당 문구를 클릭하면 공격자가 사전에 설정해둔 악성 인터넷주소(URL)로 연결되도록 했다.

이달 들어서는 개성공단 근무자 관계 연구 내용을 담은 문서와 아태지역 연구 논문 투고서류처럼 위장한 파일이 발견됐다. 지금까지 탈륨 조직은 hwp·docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 `스피어 피싱` 공격 수법을 사용했으나, 이번에 새롭게 발견된 악성 파일은 EXE 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다.

ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT 표적에 노출됐을 가능성을 높게 보고 있다. 이들을 대상으로 한 공격이 앞으로도 끊이지 않으면서 공격기법이 점점 고도화될 것으로 예상돼 체계적인 대응이 필요해 보인다. ESRC는 탈륨 조직이 수행 중인 APT 캠페인을 보다 상세히 관찰 추적 중이며, 민관이 함께 공격에 대응할 수 있는 조직 체계를 갖출 필요가 있다고 강조한다.

탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면(자료=이스트시큐리티 제공)