북한의 최근 내부 소식으로 위장해 수신자를 현혹하는 악성 이메일이 발견돼 대북 분야 활동가나 전문연구원 등의 주의가 필요한 상황이다. 보안 기업 이스트시큐리티가 발견한 이메일은 최신 북한 뉴스를 제공하겠다며 악성코드가 포함된 HWP 문서 파일을 첨부한다.
일반적인 스피어 피싱 공격은 처음부터 이메일에 악성 파일을 첨부해 수신자로 하여금 즉시 실행을 유도하지만, 이 공격은 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 나름 치밀한 시나리오를 활용하고 있다.
우선 공격자는 일정 기간 정상적 이메일을 수차례 보내 수신자의 신뢰를 얻는다. 이후 자신을 믿는다고 판단된 순간 악성 파일을 전달하는 일종의 투-트랙 공격 전략을 구사한다.
아울러 HWP, DOC 등 문서형 악성 파일을 전송할 때는 보안 프로그램의 탐지와 의심을 최소화하기 위해 문서작성 프로그램의 자체 암호 설정 기능을 악성코드에 적용하고, 이메일을 회신한 사람에게만 해제 암호를 제한적으로 전달하는 1:1 맞춤형 감염 수법을 사용한다.
이스트시큐리티가 공격에 활용된 여러 코드를 살펴본 결과, 공격자는 실제 북한 언어 표현에 능통한 것으로 보이며, 문서 파일의 객체 연결 삽입(OLE)과 바로 가기(LNK) 기능을 악용해 감염을 유도하는 코드 내부에서 제작자가 의도하지 않게 남긴 흔적도 발견됐다.
이를 통해 이스트시큐리티 ESRC(시큐리티대응센터)는 이번 공격이 북한 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’ 소행으로 보인다고 지목했다.
탈륨은 ‘김수키(Kimsuky)’라는 이름으로도 널리 알려진 해킹 그룹이며, 최근 한국과 미국 등에서 연이어 사이버 위협 주의보를 발령하는 등 지능형지속위협(APT) 그룹 중 가장 활발한 첩보 활동을 전개하고 있다.
