|
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직 `탈륨(Thallium)`을 지목했다. 탈륨은 최근 연이어 발생하는 지능형지속위협(APT) 공격 그룹 중 가장 활발한 움직임을 보이고 있다는 설명이다. 탈륨은 지난해 미국 마이크로소프트(MS)로부터 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 대북 및 탈북 분야 민간단체를 포함해 정치·외교·안보·통일·국방 전현직 관계자를 주요 대상으로 사이버 첩보 활동을 전개하고 있다.
ESRC가 포착한 이번 공격은 추석연휴가 막 시작하던 지난 9월 29일 발생했으며, 마치 통일부 북한인권기록센터에서 보낸 것처럼 북한인권보고서인 `북한인권백서-2020` 문서를 사칭한 것으로 나타났다. 이메일 내용에는 통일부에서 외부 공개용으로 발행된 북한인권백서를 송부해 드린다는 내용과 특정 사무관의 소속과 이름 등을 넣어 수신자가 이를 믿고 신뢰해 첨부파일을 열람하도록 구성됐다.
또 추가로 내려오는 명령에 따라 파워셸 기반의 키로깅 기능이 은밀히 실행되고, 이후 입력되는 개인정보들이 해커에게 고스란히 넘어가는 전형적인 사이버 스파이 활동을 보이지만 코드 설정에 의해 윈도우 64비트에서만 정상 감염 활동을 하는 특징이 있다.
문종현 ESRC센터장은 “추석연휴 전후로 대북 관련 단체장을 겨냥한 APT 공격이 동시다발적으로 진행됐고, 한국의 정부 기관을 사칭하는 등 갈수록 과감하고 노골적인 수법으로 다양한 사이버 위협 전술이 전개되고 있다”며 “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 공격 수위는 갈수록 증대되고 있어 유사한 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다.
한편 이스트시큐리티는 새롭게 발견된 악성 파일을 보안제품 알약에 긴급 추가했고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.