|
이스트시큐리티 시큐리티대응센터(ESRC)가 새롭게 발견한 지능형지속위협(APT) 공격은 탈륨조직 등으로 알려진 북한 연계 해킹 조직의 소행으로 추정되며, 발신지를 통일부 이메일처럼 보이도록 정교하게 조작했다.
실제 공격에 사용된 악성 이메일의 발신지 주소에는 통일부 주소가 포함돼 이메일 수신자가 통일부에서 보낸 정상적인 이메일로 착각하고 열어볼 가능성이 매우 높다. 공격자는 이메일 발신지 주소를 조작하기 위해 별도의 이메일 서버를 구축한 것으로 분석된다.
이메일 내용을 살펴보면 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입돼 있고, 하단에는 통일연구원(KINU) 문서가 첨부된 듯이 인터넷주소(URL) 링크가 삽입돼 클릭을 유도한다. 얼핏 보기에는 통일연구원의 `조선노동당 제8차 대회` 분석 자료가 포함된 것처럼 보이지만, 실제 공격에는 PDF 첨부 파일이 아닌 악성 링크가 활용됐다.
다만 통일연구원 공식 웹사이트에 등록된 실제 `현안분석-온라인 시리즈`의 제목은 `조선노동당 제8차 대회 분석(2):경제 및 사회문화 분야`인 반면, 해킹 이메일 화면에는 `조선노동당`이 아닌 `조선로동당`으로 표기됐다는 점에서 차이가 있다.
ESRC는 새롭게 발견된 공격의 배후로 북한 당국과 공식 연계된 것으로 알려진 탈륨조직을 지목했으며, 지난해 12월부터 통일부 `월간 북한 동향` 자료를 사칭한 유사 공격 시도가 계속 이어지고 있다고 지적했다. 탈륨은 한국과 미국 등지에서 활동하는 APT 그룹 중 가장 활발한 사이버 첩보 활동을 전개하고 있는 조직으로, 최근 `북한 제8차 당대회` 내용을 미끼로 다수의 공격을 수행하기도 했다.
이어 그는 “공격자가 단순 개인이 아닌 북한 당국 차원에서 체계적으로 운용되고 있기에, 반드시 국가 사이버 안보 측면에서 유관기관이 함께 해결 방안을 모색하고 접근해야 한다”고 덧붙였다.