[단독] 외교부 재외공관 근무자 노린 것으로 보이는 ‘탈륨 APT 공격’ 발견

‘2021년 외교부 재외공관 복무관련 실태 조사’ 이름의 악성파일 발견
스크립트 방식의 파일 Hwp로 위장...클릭하면 악성코드 설치하고 정보탈취
지난해 카이스트와 코로나 제약사 공격했던 블루 에스티메이트 캠페인 추정

[보안뉴스 원병철 기자] 외교부 재외공관 근무자를 대상으로 한 것으로 보이는 악성파일이 발견돼 관련자들의 주의가 요구된다. 21일 발견된 ‘2021년 외교부 재외공관 복무관련 실태 조사’란 이름의 악성파일은 스크립트 방식의 파일을 HWP 파일로 위장했으며, 실행하면 실제 HWP 문서와 함께 명령제어 서버와 통신해 사용자의 정보탈취를 시도한다.

▲외교부 재외공관 복무관련 실태조사 설문지로 위장한 악성파일[이미지=ESRC]

이번에 발견된 악성파일 문서는 외교부 재외공관 복무자를 대상으로 한 설문지를 위장하고 있다. 이 때문에 보안전문가들은 이번 공격이 재외공관 복무 경험이 있는 외교부 전현직 직원을 대상으로 한 것으로 보고 있다. 다만, 공격에 사용된 이메일이 발견된 것은 아니어서 현재로서는 추측 단계다.

악성파일을 실행하면 스크립트 명령이 작동하고 내부에 숨겨져 있던 dll과 정상 HWP가 실행된다. 정상적으로 실행된 설문지는 기본 개인내역과 근속연수, 해외근무 장소, 성희롱 예방교육 관련 질문내용이 담겨 있어, 사용자는 공격을 받았다는 사실을 알기 어렵다. 이번 공격에 사용된 악성파일은 ‘onedrive-upload.ikpoo[.]cf’ 명령제어 서버와 통신을 시도해 정보탈취를 시도한다.

특히, 몰래 설치된 악성 dll 모듈은 일부 문자열들이 고유 암호화 방식으로 난독화되어 있는데, 이는 북한의 지원을 받는 것으로 추정되는 탈륨(Thallium)의 블루 에스티메이트 캠페인과 일치한다. 또한, 명령제어 서버 주소는 새로 만든 것으로 보이나 사용하는 도메인 스타일은 과거 공격에서 이용한 것과 비슷하다. 탈륨은 지난 2019년 미국 MS가 고소하면서 알려진 해킹그룹으로, 보안전문가 사이에서는 김수키(Kimsuky)와 연관이 있는 것으로 보고 있다.

블루 에스티메이트 캠페인은 보안기업 이스트시큐리티의 ESRC(시큐리티대응센터)가 분석한 탈륨의 대표적인 APT(지능형 지속위협) 캠페인으로, 2019년 12월 청와대 녹지원과 상춘재 행사 견적서를 사칭한 APT 공격을 비롯해 주로 방위산업체, 외교안보분야 전문가, 비트코인 거래소, 코로나 백신 국내 제약사, 국립 특수대학 등을 공격한 것으로 알려졌다.

ESRC 문종현 센터장은 “최근 탈륨, 라자루스 등 북한 당국과 연계된 APT 조직의 대남 사이버위협 활동이 급증하고 있어 각별한 주의가 필요한 시기”라고 조언했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)