[긴급] 탈륨과 라자루스, 외교·안보·국방 전문가 노린 사이버 표적 공격

  |  입력 : 2021-04-20 10:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안보 연구 평가 설문지 사칭해 접근, 사례비 지급 명목으로 악성 DOC 문서 전달
치밀한 투-트랙 스피어 피싱 전략 구사, 보안이 높은 스위스 이메일 주소로 회신 유도
북한식 외래어 표기 방식인 ‘프로그람’ 단어 실수로 노출된 정황 증거 발견


[보안뉴스 원병철 기자] 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 연이어 발견되고 있다며, 각별한 주의가 필요하다고 보안 전문 기업 이스트시큐리티(대표 정상원)가 밝혔다.

▲공격자가 설문지를 사칭해 발송한 이메일 화면[자료=이스트시큐리티]


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이 공격의 배후로, 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨(Thallium)’과 ‘라자루스(Lazarus)’를 각각 지목했다. 각 조직은 국내 외교·안보·국방·통일 분야 종사자를 주요 공격대상으로 삼아 사이버 위협 활동을 펼치고 있으며, 일부 방위산업, 군사 전문가들도 공격에 노출된 것으로 분석된다. 공격 방식은 주로 이메일에 악성 DOC 문서를 첨부하는 전통적 방식이 성행하고 있지만, 수신자를 현혹시키기 위한 위협 시나리오는 나날이 정교해지고 있다.

이번에 발견된 공격에는 ‘안보 연구 평가 설문’을 사칭한 이메일 공격 수법이 활용됐다. 공격자가 수신자에게 최초로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부돼 수신자로 하여금 의심을 낮추고 신뢰도를 높였다. 이후 이메일에서는 사례금 지급을 미끼로 수신자의 심리를 자극해 악성 문서를 열람하도록 유도하는 ‘지능적 투-트랙 스피어 피싱 전략’을 구사한 것으로 확인됐다.

ESRC는 최근 포착된 여러 사례들을 종합 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다고 설명했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로, 보안 기능이 높은 것으로 알려져 있어 랜섬웨어 제작자들이 비트코인을 요구하거나 협상 시 활용하는 대표 이메일 서비스다. 따라서 프로톤메일로 평소와 다른 형태의 접근이 목격된다면 세심히 관찰할 필요가 있다.

▲‘프로그람’ 표현이 사용된 악성 문서 화면[자료=이스트시큐리티]

아울러 라자루스 그룹은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고, 이 데이터를 WIA_ConvertImage 매크로 함수를 통해 BMP 포맷으로 변환하는 공격 방식을 취했다. 이는 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피(Steganography)’ 기법으로, 문서를 실행하면 내부에 숨겨둔 악성 스크립트가 호출되는 전략을 새롭게 구사했다.

현재 이와 유사하게 ‘참가신청서양식.doc’, ‘생활비지급.doc’ 등의 파일을 활용한 공격사례가 포착되고 있다. 해당 공격들은 악성 매크로 기능이 실행되기 위해 사용자가 ‘콘텐츠 사용’ 버튼을 누르도록 가짜 화면을 노출하며, 초기에 이 화면에서 ‘프로그람’이라는 단어가 발견됐다.

여기서 ‘프로그람’은 프로그램(Program)을 의미하는 대표적 북한식 영어 표기로, 평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 사이버 위협 배후 조사에 있어 중요한 증거 지표로 활용될 수 있다. 다만, 이후 보고된 변종에서는 해당 문구 자체가 변경됐고, 악성 문서 작성자 이름에 ‘William’ 이름이 동일하게 사용됐다는 특징이 있다. 또한, 이 공격의 명령 제어(C2) 주소로 한국의 웹 사이트 일부가 악용돼 지속적 보안강화 조치가 요구된다.

-jinjinpig.co[.]kr/Anyboard/skin/board.php
-mail.namusoft[.]kr/jsp/user/eam/board.jsp
-snum.or[.]kr/skin_img/skin.php
-ddjm.co[.]kr/bbs/icon/skin/skin.php

이스트시큐리티 ESRC센터장 문종현 이사는 “최근 악성 DOC 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있다”며, “특히, 북한 당국과 연계된 것으로 널리 알려진 탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다.

이어 문 이사는 “기존에 널리 쓰이던 HWP 문서의 포스트스크립트(PostScript) 취약점 대신 최근에는 DOC 매크로(Macro) 공격이 상대적으로 우위를 점하고 있지만, 종종 HWP 문서 내부에 악성 OLE 개체를 삽입하는 방식도 관찰되고 있어 반드시 최신 버전의 오피스 프로그램을 사용하고 보안 기능을 상향 설정하는 것이 중요하다”고 덧붙였다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 보안제품 알약(ALYac)에 긴급 추가하고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)