“북 해커, 미 ‘대선 분석’ 위장해 사이버 공격”

워싱턴-이경하 rheek@rfa.org

0:00 / 0:00

앵커: 북한 해커 조직으로 알려진 '탈륨'(Thallium)이 미국의 유명 국제안보 연구기관의 미국 대통령 선거 분석 자료를 미끼로 악성코드를 유포하고 있는 것으로 알려졌습니다. 이경하 기자가 보도합니다.

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 3일 미국 우드로 윌슨센터의 미국 대통령 선거 분석 문서로 위장한 악성 한글문서(hwp)를 미끼로 한 북한 추정 '탈륨'의 사이버 공격이 포착됐다고 자유아시아방송(RFA)에 밝혔습니다.

이 업체에 따르면 북한 해킹 조직인 '탈륨'은 미국 우드로윌슨센터 연구위원(fellow)으로 있는 한국 세종연구소 통일전략연구실 정성장 수석연구위원이 지난달 27일 공개한 '선거 후 미북 정책 전망과 과제'(Outlook and Tasks for U.S.-North Korea Policy Post-Election)란 기고문을 한글 문서 파일(hwp)에 영문과 한글 번역을 함께 담아 사이버 공격을 감행하고 있습니다.

특히 이 한글 문서의 파일명과 제목을 '미국 대선 예측- 미주중앙일보'로 제작해, 전자우편 수신자를 현혹시켰습니다.

이 업체는 미국 대통령 선거에 대한 사회적 관심이 높아지고 있는 상황을 노려, '탈륨'이 정보를 탈취하기 위해 사람 간의 신뢰를 기반으로 하는 '사회공학기법', '스피어피싱' 방식 등을 사용하고 있다고 지적했습니다.

이 업체는 '탈륨'이 이 한글 문서 파일의 '객체 연결 삽입'(OLE)과 '비주얼베이직스크립트'(VBS) 기능을 악용해, 악성 코드 감염을 유도하고 있다고 분석했습니다.

‘객체 연결 삽입' 연결문서 기능과 관련해 한컴오피스 버전에 따라 보안 경고창이 화면에 표시되면 절대 실행을 허용해서는 안되지만, 실행할 경우 한글 문서 파일을 통해 ‘Hancom.Configuration.VBS'라는 악성 코드가 생성되고 해킹당한 한국의 특정 서버로 정보가 탈취되게 된다.
‘객체 연결 삽입’ 연결문서 기능과 관련해 한컴오피스 버전에 따라 보안 경고창이 화면에 표시되면 절대 실행을 허용해서는 안되지만, 실행할 경우 한글 문서 파일을 통해 ‘Hancom.Configuration.VBS’라는 악성 코드가 생성되고 해킹당한 한국의 특정 서버로 정보가 탈취되게 된다. (/이스트시큐리티)

이 업체에 따르면 '객체 연결 삽입' 연결문서 기능과 관련해 한컴오피스 버전에 따라 보안 경고창이 화면에 표시되면 절대 실행을 허용해서는 안되지만, 실행할 경우 한글 문서 파일을 통해 'Hancom.Configuration.VBS'라는 악성 코드가 생성되고 해킹당한 한국의 특정 서버로 정보가 탈취되게 됩니다.

또 이번 공격에 쓰인 악성코드 내부에서 '탈륨'이 이미 사용한 바 있는 동일한 문자열(F:\Sheet\_Build_Virus\1101\Hancom.Configuration.VBS)도 발견됐습니다.

'탈륨'이 지난해 4월 기존 '스모크 스크린(Smoke Screen)' 지능형지속위협공격(APT) 캠페인에서 사용한 바 있는 문자열(AlreadyRunning191122, 1f341c23b5204)도 동일하게 그대로 사용됐습니다.

특히 일반적인' '스피어 피싱' 공격은 처음부터 전자우편에 악성 파일을 첨부해 수신자로 하여금 즉시 실행을 유도하지만, 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 나름 치밀한 '사회공학기법' 활용하고 있습니다.

'스피어피싱' 방식은 전자우편을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

이런 가운데, 한국 국가정보원은 3일 사이버 공격이 4년 전 대비 4배 증가했다며 북한에서의 공격이 가장 많았다고 밝혔습니다.

한국 국회 정보위원회 여당 간사인 김병기 더불어민주당 의원은 3일 국정원에서 진행된 국정감사 회견에서 "사이버 공격 시도 건수는 하루평균 162만건"이라며 "2016년 41만건에 비해 4배 급증했다"고 밝혔습니다.

이어 "해킹 사건 중에서 공격 주체는 북한이 가장 많았다"라며 "수법으로는 해킹 메일 유포가 84%였다"고 강조했습니다.

이와 관련, 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)의 북한전문가 매튜 하 연구원은 3일 자유아시아방송(RFA)에 코로나19로 인해 전세계적으로 재택근무가 많아지면서, 북한 해커들의 사이버 공격이 증가하고 있다고 지적했습니다.

매튜 하 연구원: 미국의 전문적인 재택근무 업무 환경에서 평양의 해커가 정부 기관과 민간 전문가를 표적으로 삼을 수 있는 절호의 기회가 될 수 있습니다.

한편, 한국과 미국 사이버보안 업계에 따르면, '김수키'라는 이름으로도 알려진 '탈륨'은 미국뿐 아니라 한국 내 방위 산업체를 포함해, 북한 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 북한 추정 해킹 조직입니다.

'김수키'와 '탈륨'은 북한 추정 해킹조직이지만 보안 업체마다 다르게 명명되고 있습니다.