개성공단 근무 경험자 연구 문서 등 사칭
[서울=뉴스핌] 정윤영 기자 = 이스트시큐리티는 북한이 배후로 추정되는 '탈륨(Thallium)' 해킹 조직의 새로운 지능형 지속 위협(APT) 공격 징후를 포착했다고 3일 밝혔다.
탈륨은 지난해 12월 미국 마이크로소프트(MS)사가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다.
[서울=뉴스핌] 정윤영 기자 = 북한이 배후로 추정되는 '탈륨(Thallium)' 해킹 조직의 새로운 지능형 지속 위협(APT) 공격 징후를 포착됐다. [제공=이스트소프트] 2020.09.03 yoonge93@newspim.com |
이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨 조직이 사용한 이메일 계정에 일부 국내 서비스 주소가 포함되어 있고, 비트코인 키워드를 아이디로 사용하거나 과거 한국에서 보고된 악성 파일과 밀접하게 연관된 것으로 분석했다.
악성 파일은 ▲'개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용'을 담은 문서, ▲'아시아·태평양 지역의 학술 연구논문 투고 규정' 문서 등을 사칭해 유포되고 있다.
이스트시큐리티 ESRC센터장 문종현 이사는 "특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재되어 있다"며 "정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다"고 당부했다.
그는 "공식 설문조사나 서류심사, 행사 초대 등을 빌미로 접근하는 악성 이메일을 발송해, 메일 수신자가 첨부 파일을 열어보도록 심리적으로 현혹하는 수법을 사용하고 있다"며 '만약 이와 유사한 것으로 의심되는 이메일을 수신할 경우, 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해야 한다"고 설명했다.
현재 이스트시큐리티는 자사 백신 프로그램 알약(ALYac)에 관련된 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했으며, 이와 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다.
yoonge93@newspim.com