외교·안보 전문가 위한 '평화 CEO 교육' 사칭..악성 PDF '주의보'

공격 배후 北 연계 해커조직 추정..이스트시큐리티

[아이뉴스24 최은정 기자] 국내 외교, 안보·국방 등 관계자를 겨냥한 악성 PDF 문서 파일 공격이 발견됐다.

이스트시큐리티(대표 정상원)는 3일 국내에서 악성 PDF 문서파일을 악용한 지능형지속위협(APT)이 지속 발견되고 있다며 사용자 주의를 당부했다.

이메일에 첨부된 이번 악성 PDF 파일은 국내 특정 사단법인이 주관하는 '평화 경제 최고경영자(CEO) 과정' 안내 자료를 사칭하고 있다. 만약 메일 수신자가 문서를 열면, PDF 파일 내부에 숨겨진 스크립트 코드가 작동한다. 이후에는 명령제어(C2) 서버와 통신, 공격자의 추가 명령을 수행하게 된다.

악성 PDF 문서 일부 [사진=이스크시큐리티]

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 배후로 북한 연계 해킹 조직인 '탈륨'을 지목했다. 이 조직은 최근까지 마이크로소프트(MS) 워드 문서 파일의 매크로 기능을 악용하는 감염 기법을 주로 활용해왔으나, 최근 PDF 취약점을 활용하는 기법 변화를 시도하는 것으로 추정된다는 설명이다.

탈륨 조직은 최근까지 국내 전·현직 장·차관급 고위 정부 인사 등을 상대로 계속해서 해킹 공격을 시도해왔다. 다만 PDF 취약점을 활용한 사례가 발견된 건 이번이 처음이다. 탈륨 조직의 대표적인 APT 공격 캠페인 중 하나인 '페이크 스트라이커'의 연장선이라는 게 ESRC의 분석이다.

회사 측은 해당 악성 파일을 백신 프로그램 알약에서 탐지할 수 있도록 긴급 업데이트했으며, 피해 확산 방지, 대응 조치 등을 관련 부처와 긴밀하게 진행하고 있다.

문종현 ESRC 센터장(이사)은 "이번 공격 캠페인은 국내 전·현직 장·차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노렸다"며 "PDF 취약점을 활용한 신규 공격이 가세하고 있어, PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구된다"고 말했다.

/최은정 기자(ejc@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]