상세 컨텐츠

본문 제목

통일부, 통일연구원 공식 이메일 둔갑… 北 연계 탈륨 해킹 공격 주의보

악성코드 분석 리포트

by 알약4 2021. 6. 25. 14:30

본문

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

최근 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 北 연계 해킹 조직 소행으로 지목된 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있어 각별한 주의가 필요합니다. 

이번에 새롭게 발견된 APT 공격은 통일부를 사칭한 이메일 공격과 통일연구원을 사칭한 이메일 해킹 공격 유형 등입니다.


[그림 1] 통일부 사칭 이메일과 통일연구원 사칭 이메일

 


먼저 통일부 사칭 공격은 지난 06월 22일 수행됐고, 통일연구원을 사칭한 공격은 24일 포착됐습니다. 

두 공격 모두 거의 동일한 시기에 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 주제와 관련된 내용처럼 수신자를 현혹하는 공통점이 발견됐습니다. 

특히, 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록 각 발신지 주소를 실제 통일부(analysis@unikorea.go.kr)와 통일연구원(mail@kinu.or.kr)의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했습니다. 

따라서 일반인 수준에서 육안 상으로 발신지가 허위로 조작됐다고 판단하기에 현실적인 어려움이 존재합니다. 

ESRC에서 이메일 발송지를 역추적한 결과 두 공격 사례 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황이 포착됐고, 조사 결과 꽤 오래전부터 공격 거점으로 악용된 것으로 드러났습니다.

한편, 지난 06월 18일 국가안보전략연구원을 사칭한 공격과 21일 보고된 한국인터넷진흥원(KISA)을 사칭한 공격 모두 동일한 서버가 악용된 점도 주목됩니다. 

최근 보고된 사례는 본문 내 악성 문서 파일을 열어보도록 현혹하는 전형적인 첨부파일 유형의 공격처럼 보이지만, 실제로는 첨부 파일이 아닌 악성 URL 링크를 삽입한 포털 계정 탈취 목적의 공격이고, 별도의 악성 파일을 사용하지 않아 보안 서비스의 위협 탐지를 회피하기 위한 목적으로 예상됩니다. 

공격자가 발송한 이메일 본문에는 마치 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면이 사용됐고, HWP나 PDF 문서 전문이 첨부된 것처럼 화면을 보여주며 클릭을 유도합니다. 

만약 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 화면을 먼저 보여줍니다. 

이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 은밀하게 전송돼 이메일을 통해 주고받은 개인 정보가 지속 유출되는 것은 물론, 공격자가 계정을 도용해 주변 지인에게 접근을 시도하는 등 2차 가해자로 전락할 우려도 있습니다.

이메일 암호가 유출된 직후, 실제 정상 문서를 보여주어 수신자가 신뢰하도록 속임 수를 사용한다며, 보이는 문서가 공식 사이트에 등록된 상태인지 꼼꼼히 살펴보고 현혹되지 않도록 세심한 주의가 필요합니다.

최근 위협에 악용된 정상 문서 화면을 목격한 적이 없었는지 확인하고, 유사 사례에 노출된 경우 신속히 사용 중인 이메일 암호를 변경하고 2차 인증 등을 설정하는 것이 필요합니다.

[최근 위협에 악용된 정상 문서]
- uti.co[.]kr/member/data/download/1.pdf
- jyle.co[.]kr/member/data/download/1.pdf
- uandp.co[.]kr/online/data/download/1.hwp

  

[그림 2] 국가안보전략연구원 정상 문서와 통일연구원 정상 문서



ESRC는 유사한 위협 사례들을 지속적으로 추적 연구하고 있으며, 탈륨 조직이 공격 소행 배후에 있는 것으로 지목했습니다. 

탈륨 조직은 평소 외교 안보 통일 분야 종사자와 취재 기자들을 상대로 이러한 공격을 수행하고 있는데, 주로 기관 및 회사 공식 이메일보다는 포털에서 제공하는 무료 이메일 계정으로 공격을 이어가고 있는 추세입니다. 

전문가는 “탈륨 조직은 최근 원자력 국책 연구기관을 포함해 국방분야 무기체계를 연구하는 특정 방위산업체까지 거의 전방위적인 사이버 공세를 이어가고 있어 민관의 보다 긴밀한 협력과 대비가 필요하다”며, “갈수록 우리나라의 사이버 위협 수위가 고조되고 있기 때문에, 보다 면밀하고 빈틈없는 사이버 안보 강화 노력이 필요할 때다”라고 당부했습니다. 

이어 “탈륨의 정교한 해킹 이메일 공격이 국내에서 빈번하게 발생하고 있지만, 발신지 이메일 주소만으로 악성 유무를 쉽게 판별하기 어려워, 주요 포털 회사를 포함해 관계자들 간 유기적 협조와 대응방안 모색이 중요하다”라고 덧붙였습니다.

 

보다 자세한 분석 보고서과 관련된 IoC는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다.

 

 

 

관련글 더보기

댓글 영역