[아이티데일리] APT 공격 그룹 ‘탈륨(Thallium)’이 한국을 타깃으로 APT 공격을 지속하고 있는 것으로 조사됐다. 최근 이스트시큐리티는 개성공단 근무자 연구, 학술지 논문 투고 규정 문서 사칭 등 탈륨의 APT 공격 징후를 포착했다.

APT 공격 그룹 ‘탈륨’은 지난해 마이크로소프트가 버지니아주 연방법원에 고소장을 제출하면서 알려진 해킹 조직이다. 실제로 MS는 피고인이 출석하지 않은 공석 상태로 진행하는 ‘궐석 재판’을 요청한 바 있으며, 탈륨의 이메일 주소에 수차례 소환장을 보냈다고 밝힌 바 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 ‘탈륨’이 사용한 이메일 계정에 일부 국내 서비스 주소가 포함돼 있고, 국내에서 발견된 악성파일과의 연관성 등을 바탕으로 한국을 타깃으로한 공격을 지속하고 있다고 분석했다.

최근 발견된 악성파일은 ▲‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’을 담은 문서 ▲‘아시아/태평양 지역의 학술 연구논문 투고 규정’ 문서 등이다. 탈륨은 hwp, docx 문서파일에 악성코드를 삽입하고, 이를 이메일 첨부파일로 보내는 스피어 피싱 기법을 주로 사용해 왔다. 하지만 이번에 발견된 악성파일은 exe 실행 파일을 사용했으며, 아이콘이나 파일 확장자만 문서처럼 속여 파일을 실행하도록 유도하는 수법을 사용한 것으로 분석됐다.

ESRC 측은 이번 공격 등을 미뤄 봤을 때 대북 분야의 연구원이나 종사자들을 타깃으로 한 APT 공격이 많을 것으로 예상했다. 아울러 이번 악성 파일은 동작하지 않는 복수의 악성코드가 삽입돼 있는 특징도 발견했다. 동작하지 않는 악성코드는 현재 분석 중에 있다. 다만 악성코드 중 일부는 감염된 PC의 정보를 유출하는 행위를 수행하는 것으로 나타났다.

ESRC는 이번 공격의 명령제어 서버와 악성 파일 간 통신 체계가 탈륨의 방식과 일치하고, 일부 서버는 기존 ‘페이크 스트라이커’ 때와 동일한 점을 들어 탈륨의 소행으로 추정했다.

문종현 ESRC장은 “특정 정부가 연계된 ‘탈륨’은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재돼 있다”며, “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했다.

이어 “탈륨은 공식 설문조사나 서류심사, 행사 초대 등을 빌미로 접근하는 악성 이메일을 발송해, 메일 수신자가 첨부 파일을 열어보도록 심리적으로 현혹하는 수법을 사용하고 있다”며, “만약 이와 유사한 것으로 의심되는 이메일을 수신할 경우, 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해야 한다”고 설명했다.