[아이뉴스24 최은정 기자] 이스트시큐리티는 특정 정부가 연계된 것으로 알려진 '탈륨' 해킹 조직의 새로운 지능형지속위협(APT) 공격 유형을 포착했다고 3일 발표했다.
이번 공격은 개성공단 근무 경험자에 대한 연구문서, 아시아·태평양 지역 학술지 논문 투고 규정 문서 등을 사칭했다. 기존에는 한글(hwp)·워드문서(docx) 파일에 악성코드를 삽입해 이메일을 발송했다면, 이번에는 실행파일(exe)을 그대로 사용하고 아이콘·파일 확장자만 문서처럼 속였다는 게 차별점이다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 논문 투고 관련 악성 문서에서 중국식 표현으로 추정되는 'zhaozhongcheng' 사용자 계정이 발견됐다. 이는 기존 탈륨 조직의 해킹 공격과 연관돼 있는 것으로 분석됐다.
또 명령제어(C2) 서버와 악성 파일 간 통신 체계가 탈륨 방식과 정확히 일치하며, 일부 서버는 기존 탈륨 APT 캠페인으로 알려진 '페이크 스트라이커'와 동일한 흐름을 사용한 것으로 확인됐다.
![논문 투고 규정 사칭 문서 화면 [자료=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202009/1599106163792_1_130943.jpg)
더불어 개성공단 근무자 관련 악성 파일에는 동작하지 않는 복수의 악성코드가 삽입돼 있는 것으로 나타났다. 해당 악성코드들이 보안 제품을 우회할 수 있는지 여부를 테스트하기 위한 목적인지 혹은 제작자 실수인지 여부는 현재 분석 중이다. 다만 해당 파일 중 일부는 감염된 PC 정보를 유출하는 등 악성 행위를 감행했다.
ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원·종사자들이 주요 공격 타깃에 노출됐을 것으로 예상했다. 현재 이스트시큐리티 백신 프로그램 알약은 관련 악성 파일을 탐지·차단하고 있다.
문종현 이스트시큐리티 ESRC센터장(이사)은 "탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자로 등재돼 있다"며 "정치·외교·안보·통일·국방·대북 분야에 종사하는 전문직이 공격 표적에 노출되고 있어 강화된 보안 의식과 각별한 주의가 요구된다"고 당부했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기