​

최근 북한 당국과 연계된 것으로 알려진 ‘탈륨’ 해킹 조직의 표적 공격이 급증하고 있어 각별한 주의가 필요합니다.

해당 그룹은 이메일 수신 대상자의 금융거래 심리를 교묘히 활용해, 마치 국내 시중은행의 공식 안내 메일처럼 위장하거나 설문지 응답 또는 세미나 참석에 따른 소정의 사례비 명목으로 수신자를 현혹하고 있습니다. 특히, 지난 2021년 한미정상 회담 기간 중에도 외교·안보·통일 및 대북 분야 전문가를 상대로 해킹 시도 정황이 진행된 것으로 드러났습니다.

공격 유형으로 여전히 악성 MS 워드(DOC) 문서가 성행하는 편이지만, 최근 금융 회사 이메일로 사칭한 공격에는 악성 엑셀(XLSX) 문서가 사용되었습니다. 이들은 평소 보안 경계심이 높은 인물에 대한 공격 시도엔 먼저 정상 이메일을 수차례 보낸 후, 어느정도 안심시킨 시점에 본격적인 공격을 수행하는 신뢰 기반의 위협 시나리오를 적용하는 등 갈수록 치밀함과 대담성이 드러나고 있습니다.

국내 시중은행의 보안 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다.’ 등의 가짜 안내 화면을 보여주는 전형적인 매크로 공격 방식이 사용됐고, 이용자가 만약 이 화면에 속아 [콘텐츠 사용] 버튼을 누르게 되면 악성 명령이 작동되어 개인정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있어 절대로 해당 버튼을 누르지 않도록 주의해야 합니다. 

이처럼 이메일에 첨부된 문서를 다운로드 받아 악성 매크로를 실행하도록 유인하는 수법도 나날이 교묘해 지고 있는데, 최근 발견된 사례비 양식으로 위장한 유형에서 북한 프로그래머가 주로 사용하는 ‘창조’라는 용어가 매크로 실행 유도 수법으로 포착되었습니다. 보통 이런 단어 표기는 국내에서 ‘창조’ 대신 ‘작성’ 또는 ‘개발’ 등의 표현으로 대체됩니다. 

라자루스 그룹의 악성 DOC 문서 사례에서 ‘프로그람’이라는 북한 표기법이 사용된 것도 공개한 바 있습니다. 

최근 포착된 유사 사례들을 종합 분석한 결과, 북한 당국의 지원을 받아 활동하는 해킹 조직 ‘탈륨(Thallium)’은 ‘김수키(Kimsuky)’라는 이름으로도 사용되는데, 악성 DOC 문서를 공격에 적극적으로 활용하고 있으며, 감염 대상자들이 현혹될 만한 주제나 키워드를 선정하는데 많은 노력을 기울이는 것으로 나타났습니다.

더불어 1차 해킹에 성공한 사람의 이메일을 은밀히 관찰하고 있다가 또 다른 지인과 주고받는 정상 이메일에 몰래 개입해 실제 사용자가 동일 주제로 연락하는 내용처럼 신분을 위장해 2차 공격을 수행하는 등 위험 노출 빈도가 점차 높아지고 있는 추세입니다.

페이크 스트라이커(Fake Striker)로 명명된 이번 탈륨 조직의 APT 공격 캠페인이 급증하고 있고, 주로 대북 분야에서 활동하는 인물들이 위협 블랙 리스트에 존재합니다. 마치 금융거래나 사례비 지급처럼 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있어 유사한 위협에 노출되지 않도록 각별한 주의와 관심이 요구됩니다.

현재 알약에서는 해당 악성코드를 Trojan.Downloader.XLS.gen, Trojan.Downloader.DOC.Gen, Trojan.Agent.479654T 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.