30일 보안업체 이스트시큐리티는 최신 북한 뉴스를 제공한다는 식으로 위장한 악성 한글문서(.hwp) 파일이 발견돼 사용자의 주의가 필요하다고 밝혔다. 해커들이 탈북민이나 대북 소식통으로 신분을 위장하고, 북한 내부 소식을 전해준다는 빌미로 대북 분야 전문가나 활동가에게 접근해 해킹을 시도했다는 것이다.
이스트시큐리티에 따르면 해커들은 초반에 일정 기간동안 북한 소식이 들어있는 정상적인 한글파일을 보내 대상자를 안심시키고, 자신을 믿는다고 판단된 순간 악성 파일을 전달했다. 또 보안 프로그램의 탐지를 막기 위해 문서 자료에 암호를 설정하고, 이메일을 회신한 사람에게만 비밀번호를 제공하는 1:1 맞춤형 감염 수법을 사용했다. 비밀번호를 받기 전에는 파일이 열리지 않아 악성코드를 심지 못하지만, 비밀번호로 파일을 열게되면 해킹이 가능해지는 것이다.
◇해킹 조직 ‘탈륨’ 소행…외교안보 전문가 노려
이스트시큐리티는 이번 공격의 배후로 특정 정부와 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thalium)’을 지목하고 있다. 탈륨은 ‘김수키(Kimsuky)’라는 이름으로도 알려져 있으며, 최근 한국과 미국 등에서 연이어 위협 주의보를 발령하는 등 여러 해커 조직 중에서도 가장 활발한 첩보 활동을 펼치는 단체다. 이스트시큐리티에 따르면 이번 공격에는 실제로 북한언어에 능통한 사람이 관여된 것으로 보인다.
이스트시큐리티는 새롭게 발견된 악성 파일을 보안제품 알약(ALYac)에 ‘Exploit.HWP.Agent’ 탐지명으로 긴급 추가했으며, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다고 밝혔다.
이스트시큐리티 ESRC(시큐리티대응센터)의 문종현 이사는 “탈륨 조직의 공격 대상 리스트에는 정치·외교·안보·통일·국방 전현직 관계자를 포함해 주요 정부기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들이 포함돼 있다”며 “이와 함께 비트코인 등 가상화폐 분야나 국내외 의료 및 제약사 관계자들을 향한 전방위 공격이 수행되고 있다”고 밝혔다. 이어 “정상적인 이메일을 수차례 주고 받아 의심을 최소화 한 후에 움직이기 때문에, 항상 의심하고 조심하며 위협에 노출되지 않도록 해야한다”고 당부했다.
