보안 기업 이스트시큐리티가 ‘탈륨(Thallium)’ 해킹 조직의 새로운 APT 공격 징후를 발견하고 대북 분야 종사자들에 대한 주의를 당부했다.
북한의 해커 그룹으로 알려진 APT 조직 탈륨은 지난 2019년 12월 미국 마이크로소프트(이하 MS)가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 탈륨 조직이 제작한 것으로 분석된 여러 종의 최신 악성 파일을 발견했다.
악성 파일은 ▲‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’을 담은 문서 ▲’아시아/태평양 지역의 학술 연구논문 투고 규정’ 문서 등으로 위장해 유포되고 있다.
ESRC에 따르면, 지금까지 탈륨 조직은 hwp, docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 방식을 사용했지만, 새롭게 발견된 악성 파일은 EXE 실행 파일을 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도한다.
ESRC는 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT(지능형 지속 위협) 표적에 노출되었을 가능성이 있다고 밝힌 상태다.
분석 결과 이번 악성 파일은 동작하지 않는 복수의 악성 코드가 삽입되어 있는 특징도 발견됐으며, 동일한 시점에 발견된 악성 파일 중 일부는 감염된 PC의 정보를 은밀히 유출하는 사이버 스파이 행위를 정상적으로 수행하는 것으로 분석돼 주의가 필요하다.
또 실제 명령이 정상 동작하는 ‘논문 투고 규정 사칭’ 악성 문서에서는 중국식 표현으로 추정되는 'zhaozhongcheng' 계정이 발견되었으며, 이 사용자 정보는 기존 탈륨 조직의 해킹 공격과 연관성이 있는 것으로 나타났다.
이 밖에도 공격 명령 제어(C2) 서버와 악성 파일 간의 통신 체계가 탈륨 조직의 방식과 정확히 일치하고, 일부 서버는 기존 ‘페이크 스트라이커’ APT 캠페인 때와 동일한 흐름을 사용한 것도 확인되었다.
문종현 ESRC 이사는 “탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재돼 있다”며, “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 주의가 필요한 상황”이라고 당부했다.
