北 해킹 조직 국내 외교·안보·국방·통일 분야 공격 시도 포착

북한이 연계된 것으로 알려진 해킹 조직의 국내 외교·안보·국방·통일 분야 공격 시도가 발견됐다.

사진제공=이스트시큐리티

20일 보안 전문 기업 이스트시큐리티는 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 연이어 발견되고 있다고 밝혔다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이 공격의 배후로 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus)를 지목했다. ESRC 관계자는 “일부 방위산업, 군사 전문가들도 공격에 노출된 것으로 분석된다”며 “공격 방식은 주로 이메일에 악성 문서를 첨부하는 전통적 방식이 성행하고 있지만 위협 시나리오가 갈수록 정교해지고 있다”고 설명했다.

이번에 발견된 공격에는 '안보 연구 평가 설문'을 사칭한 이메일 공격 수법이 활용됐다. 공격자가 수신자에게 최초로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부되지만, 이후 이메일에 악성 문서를 열람하도록 유도하는 ‘지능적 투-트랙 스피어 피싱 전략’을 구사한 것이다.

ESRC는 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 파악하고 있다. 프로톤메일은 암호화 이메일 서비스로 보안 기능이 높은 것으로 알려져 있다. ESRC 관계자는 “프로톤 이메일로 평소와 다른 형태의 접근이 목격된다면 세심히 관찰할 필요가 있다”고 했다.



라자루스 조직은 문서 파일 내부에 조작된 PNG 포맷 데이터를 삽입하고 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피(Steganography)’ 기법을 사용했다. ‘참가신청서양식.doc’, ‘생활비지급.doc’ 등의 파일을 활용한 공격 사례도 포착됐다. 이 문서에는 북한에서 쓰이는 ‘프로그람’이라는 단어도 발견됐다.

문종현 이스트시큐리티 ESRC센터장 이사는 “최근 악성 문서 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고 피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있다”며 “특히 북한 당국과 연계된 것으로 널리 알려진 탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다.

/윤민혁 기자 beherenow@sedaily.com