이 와중에 北 해킹 기승, PDF파일 열면 다 털린다

윤선영 2021. 8. 3. 19:42
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
악성 문서 파일로 기밀 탈취
배후 北 당국 연계조직 추정

연합뉴스

연합뉴스

북한을 배후로 한 사이버 공격이 공공, 금융, 기업 등 각 분야에서 전방위로 전개되고 있다. 특히 북한의 해킹 수법이 갈수록 지능화·고도화하고 있어 주의가 요구된다.

3일 보안 업계에 따르면 북한 배후의 해킹조직은 국내에서 활발한 공격 활동을 펼치고 있다.

보안 기업 이스트시큐리티는 이날 국내에서 악성 'PDF 문서 파일'을 활용하는 새로운 형태의 APT(지능형지속위협) 공격이 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 감행되고 있다는 사실을 발견했다고 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과, 새롭게 발견된 PDF 파일 취약점 공격의 배후는 북한 당국과 연계된 것으로 알려진 '탈륨' 해킹 조직으로 추정된다.

탈륨은 얼마 전까지 MS(마이크로소프트) 워드 문서 파일(DOC, DOCX)의 매크로 기능을 악용하는 감염 기법을 주로 활용해왔으나 최근 PDF 취약점을 활용하는 기법 변화를 시도한 것으로 보인다. PDF 취약점을 활용한 사례가 발견된 것은 이번이 처음으로 탈륨 조직의 대표적인 APT 공격 캠페인 중 하나인 '페이크 스트라이커'의 연장선으로 풀이되고 있다. 페이커 스트라이커는 국내 통일 관련 기관을 사칭해 수행되는 공격이다.

이메일에 첨부된 악성 PDF 파일은 국내 특정 사단법인이 주관하는 '평화 경제 최고경영자 과정' 안내 자료를 사칭하고 있으며 실제로 파일을 열어보면 관련 안내 자료가 보인다. 만일 메일 수신자가 문서를 열어볼 경우 PDF 파일 내부에 은닉된 스크립트 코드가 작동된다. 이 코드는 베이스62(Base64) 형식으로 인코딩된 쉘코드(Shellcode) 명령을 실행하고 분리된 코드 단위로 은밀하게 숨겨져 있는 악성 페이로드 파일을 호출한다. 이후 명령제어(C2) 서버와 통신을 시도해 공격자가 지정한 명령을 순서대로 수행하며 조건에 따라 추가 악성 파일을 설치하고 민감한 개인 정보를 탈취하거나 원격제어 등을 시도할 수도 있다.

공격에 활용된 C2 서버 영문 도메인 주소를 한글 키보드로 치환하면 '산께이(tksRpdl)'라는 일본식 단어로 변환된다. 사시미(tktlal)라는 표현의 도메인도 사용된 것으로 확인됐다. 탈륨 조직의 유사 공격에서 여러 차례 발견된 'WebKitFormBoundarywhpFxMBe19cSjFn' 통신 문자열도 이번 공격에서도 동일하게 포착됐다. 이 밖에도 공격자는 악성 행위 탐지와 분석 환경을 회피하고자 감염된 PC가 사용하고 있는 국내 보안 프로그램을 조회하고 레지스트리 키를 통해 가상 환경 여부도 확인하는 치밀함을 보였다.

문종현 이스트시큐리티 ESRC센터장은 "페이크 스트라이커로 분류된 이번 탈륨 조직의 APT 공격 캠페인은 국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다"며 "기존에 유행했던 DOC 악성 문서 형태와 더불어 PDF 취약점을 활용한 공격도 가세하고 있어 PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구된다"고 말했다.

북한 소행으로 추정되는 해킹 공격은 국가 1급 기밀과 국민의 지갑마저 털어가고 있다는 주장도 나온다. 국회 정보위원회 국민의힘 간사인 하태경 의원은 "최근 한국원자력연구원과 대우조선해양, KAI 등 방산업체들과 군사기술 연구기관들이 해킹당했다"며 "우리가 개발 중인 핵추진잠수정의 원자로와 KF-21 최신형 전투기 설계도면, 우주 로켓트 기술 등의 국가기밀이 유출됐을 가능성이 제기되고 있다"고 말했다. 하 의원은 이번 해킹이 북한 정찰총국 산하의 해킹그룹인 '킴수키'와 '안다리엘' 등의 소행으로 보인다고 강조했다. 특히 알려진 것 외에도 더 많은 기관이 해킹된 것으로 추정되며 표적 또한 군사시설과 방산업체를 넘어 코로나19 백신과 치료제, 돈까지 포함하고 있다는 설명이다. 국가정보원은 올 상반기 북한으로 추정되는 국가배후 해킹조직으로 인한 피해가 지난해 하반기보다 9% 증가한 650여건이라고 국회에 보고한 바 있다.

하 의원은 유엔 보고서를 인용해 2015년부터 2019년까지 북한이 35건의 해킹으로 20억 달러, 2조4400억원을 훔친 것으로 나타났다고 주장했다. 하 의원은 "이 중 10건, 금액으로는 수천억원이 우리 국민의 지갑에서 훔쳐간 것"이라며 "2019년과 지난해 북한이 훔친 가상화폐도 3500억원이 넘는다"고 했다. 그러면서 "북한의 무차별적 해킹이 일상적으로 진행 중인데도 무방비 상태"라며 "사이버 안보를 총괄하는 컨트롤타워가 있어야 한다"고 덧붙였다.

한 보안 전문가는 "우리나라 국민들이 모두 위협에 노출돼 있다고 본다"며 "북한의 사이버 공격은 세상에 알려지지 않았을 뿐 매일매일, 일상적으로 일어나고 있다"고 전했다.

윤선영기자 sunnyday72@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.