본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

탈륨 조직, 통일부 월간북한동향 문서 사칭 공격 수행

보안공지 2021-03-11


 

최근 탈륨(Thallium) 조직 소행으로 분석된 이메일 해킹 공격이 발견돼, 사용자의 각별한 주의가 필요합니다. 

 

새롭게 발견된 이번 APT 공격은 마치 통일부 이메일처럼 발신지를 정교하고 교묘하게 조작한 수법이 특징이며, 보낸 이에 '통일부 <nkanalysis@unikorea.go.kr>' 주소가 포함돼 사용자가 실제 통일부에서 보낸 것으로 착각할 가능성이 매우 높습니다. 

 

 

[그림 1] 통일부 월간 북한 동향 이메일 사칭 화면

 

 공격자는 발신지 주소가 통일부 도메인처럼 보이도록 조작하기 위해 별도의 이메일 서버를 구축한 것으로 분석됩니다. 이메일 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입되어 있고, 이미지 하단에는 통일연구원(KINU) 문서가 첨부되어 있는 것처럼 URL 링크가 삽입돼 클릭을 유도합니다. 


얼핏 보기에 통일연구원의 조선노동당 제8차 대회 분석 자료가 포함된 것처럼 보이는데, 실제로는 PDF 첨부 파일이 아닌 악성 링크를 활용한 공격이고, 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 암호 입력을 요구하는 화면이 나타납니다.

이때 암호를 입력하게 되면 해당 정보가 공격자에게 유출돼 이메일 내용이 노출되는 것은 물론, 계정을 무단 도용해 주변 지인에게 후속 공격 메일까지 발송되는 등 가해자로 전락될 우려가 있습니다. 또한 암호가 탈취된 직후 최대한 해킹 피해 사실을 인지하지 못하도록 통일연구원에서 공식 배포한 문서를 보여주는 치밀함도 엿보입니다. 

다만, 통일연구원 공식 웹사이트에 등록된 현안분석-온라인 시리즈의 제목은 ‘조선노동당 제8차 대회 분석(2): 경제 및 사회문화 분야’의 제목이 사용된 반면, 해킹 이메일 화면에는 ‘조선로동당 제8차 대회 분석(2) 경제 및 사회문화 분야’로 사용된 점이 다릅니다.

 

 

[그림 2] 이메일 암호가 탈취된 후 보여지는 실제 PDF 문서 화면


이러한 위협은 작년 12월부터 계속 이어지고 있으며 명령제어(C2) 서버는 ‘naver.servehttp[.]com’, 'attach.ddns[.]net', 'bigfile-naver.servepics[.]com', 'naver.serveblog[.]net', 'cafe-daum.ddns[.]net' 등의 주소가 사용됐습니다. 

 

탈륨 조직은 현재 한국과 미국 등지에서 활동하는 APT 그룹 중 가장 활발한 사이버 첩보 활동을 전개하고 있으며, 최근 북한 제8차 당대회 내용을 미끼로 다수의 공격을 수행하고 있으며, 주로 정치·외교·안보·통일과 대북 분야 종사자를 상대로 지속적인 해킹을 시도하고 있습니다.

ESRC는 “정부 주요 기관으로 사칭한 교묘하고 노골적인 사이버 위협이 국지적으로 활발하게 진행되고 있어, 사이버 공간의 특성상 위협 식별이 쉽지 않아 각별한 주의와 대비가 필요하다”며, “코로나19 영향으로 기업과 기관의 재택근무 추세와 맞물려 사이버 위협 수위도 개인별로 높아졌기 때문에, 보안 사각지대가 없도록 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때다”라고 당부했습니다. 

또한 “정교하고 지능적으로 조작된 발신지 사칭 공격 수법에 속아 최신 위협에 노출되지 않도록 최신 위협 사례에 더 많은 관심과 대비가 필요하다”며, “공격자가 단순 개인이 아닌 북한 당국 차원에서 체계적으로 운용되고 있기 때문에, 반드시 국가 사이버 안보 측면에서 유관기관이 함께 해결 방안을 모색하고 접근해야 한다”라고 덧붙였습니다.