[긴급] ‘바이든 정권의 향후 대북 전략’? 北 소행 추정 APT 공격 발견

‘바이든’, ‘대북전략’ 등 주요 키워드로 호기심 자극...관련 단체나 인물 타깃 추정
해킹 과정에 사용한 고유 통신 문자열은 과거 북한 해킹조직 탈륨이 사용한 것과 동일
DOC 문서와 매크로 이용한 공격으로, 매크로 기능 차단해 피해 예방 가능

[보안뉴스 이상우 기자] 미국 대선과 향후 대북전략 이슈를 이용한 피싱 공격이 또 발견됐다. 이번 공격 역시 지난 ‘미국 대선 예측’ 언론사 문건 사칭 공격을 시도한 북한 해킹조직 ‘탈륨(Thallium)’의 소행으로 보인다. 이번 공격은 HWP 파일 대신 MS워드 파일의 매크로 기능을 악용한 것으로, 해당 파일은 ‘네이버’로 위장한 피싱 사이트를 통해 유포되고 있다.

▲미국 대선 결고와 향후 대북 이슈로 위장한 악성 문서[자료=이스트시큐리티]

공격자는 우선 이메일로 문서 파일을 내려받을 수 있는 URL을 보낸다. 이 URL은 네이버 주소처럼 위조돼 있으며, 이메일 수신자가 큰 의심 없이 웹사이트에서 악성 문서를 내려받도록 설계했다. 문서 제목과 내용은 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’로, 최근 진행된 미국 대선 결과와 향후 정세를 다뤄 호기심을 끌고 있다. 다만, URL을 자세히 살펴보면 ‘ORG’ 등 일반 기업에서는 잘 사용하지 않는 최상위 도메인을 이용하고 있다.

메일 수신자가 피싱 사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. MS워드 매크로 기능은 기본 설정 시 자동으로 실행되지 않도록 돼 있다. 따라서 사용자가 직접 사용 버튼을 눌러 차단을 해제해야 하며, 공격자는 이러한 해커의 행동을 유도하기 위해 흥미있는 이슈로 위장한 내용을 사칭에 사용한 것으로 보인다. 특히, 관련 분야에서 활동하거나 관심을 가진 사람이 위협에 노출될 가능성이 높으며, 특정 인물이나 단체를 노린 전형적인 스피어피싱으로 추측할 수 있다.

▲매크로 기능은 기본적으로 실행이 차단돼 있기 때문에 사용자가 직접 ‘콘텐츠 사용’버튼을 누르도록 유도한다[자료=이스트시큐리티]

콘텐츠 사용 버튼을 누르면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로 명령이 순식간에 작동해 PC 정보를 해커가 지정한 서버로 전송하고, 추가 원격제어 등 해킹 피해로 이어질 수 있는 상태가 된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 ‘naver.midsecurity[.]org’ 서버를 통해 악성 워드 문서가 배포됐고, 이는 정보 탈취 및 C&C(명령제어) 기능을 갖춘 서버로 확인됐다.

ESRC는 공격 단계별로 명령제어 서버와 통신을 수행하고, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 보내는 수법을 활용했다고 설명했다. 특히, 이번 공격에 사용된 고유한 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0Qmi)과 공격패턴은 탈륨 조직이 과거 사용한 것과 유사한 것으로 확인됐고, 현재 정밀 분석을 진행하고 있다고 덧붙였다.

ESRC 문종현 센터장은 “2020년 하반기 보안 상태를 진단하며, 한국에서 탈륨 조직의 사이버 위협 수위가 예사롭지 않음을 확인했다. 유사한 위협에 노출되지 않도록, 특별한 주의와 민관의 선제적 대응이 필요하다”고 당부했다. 이어 “이메일을 기반으로 한 스피어피싱 공격이 진화를 거듭하고 있고, 최근에는 정교한 이메일 공격에 더해 해킹으로 탈취한 계정으로 기존 대화에 은밀히 개입하는 등 신분도용 기반 중간자 공격도 포착되고 있어 위협에 노출될 가능성이 매우 높다”고 덧붙였다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 자사 백신 프로그램 알약(ALYac)에서 탐지 차단할 수 있도록 탐지명 ‘Trojan.Downloader.DOC.Gen’으로 데이터베이스 긴급 업데이트를 완료했으며, 후속 대응 조치를 위해 관련 정부 부처와 긴밀하게 진행하고 있다.
[이상우 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)