북한 해킹 조직이 공격에 사용한 화면에 북한식 영어표현이 사용됐다. /사진=이스트시큐리티 제공

대북 전문가나 관계자를 겨냥한 북한 해킹조직의 사이버 공격이 포착됐다. 공격에 사용된 화면에 북한식 영어 표현도 발견돼 배후에 북한 해킹조직이 있다는 데 무게가 실리고 있다.

이스트시큐리티는 시큐리티대응센터(ESRC)는 20일 보도자료를 통해 “최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 연이어 발견되고 있다”면서 “각별한 주의가 필요하다”고 밝혔다.

ESRC는 또 “이 공격의 배후는 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus)이다”고 덧붙였다.

라자루스는 지난 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 해킹 사건의 배후로 지목됐다. 미국 마이크로소프트사(社)는 지난 2019년 탈륨을 자사 계정 도용 혐의로 연방법원에 고소했다. 라자루스와 탈륨 모두 북한의 대표적인 해커 조직으로 알려졌다.

ESRC는 “최근 포착된 여러 사례를 종합 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다”면서 “프로톤 이메일로 평소와 다른 형태의 접근이 목격된다면 세심히 관찰할 필요가 있다”고 설명했다.

여기서 프로톤메일은 스위스의 종단 간 암호화 이메일 서비스로, 보안 기능이 높은 것으로 알려져 있다. 발신자의 신분을 철저히 숨길 수 있어 해커들이 종종 이용하고 있다.

문종현 ESRC 센터장은 “최근 악성 DOC 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 적절히 구사하고 있다”며 “특히 북한 당국과 연계된 것으로 널리 알려진 탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 주의와 관심이 요구된다”고 당부했다.
북한 해커가 사용한 공격 이메일 화면. / 사진=이스트시큐리티 제공

ESRC는 “이번에 발견된 공격은 ‘안보 연구 평가 설문’을 사칭한 이메일이 활용됐다”며 “해커는 ‘지능적 투-트랙 스피어 피싱 전략’을 구사했다”고 밝혔다.

최초 발송한 이메일에는 위협 요소가 전혀 없는 정상 문서를 첨부해 공격 대상자를 안심시킨 뒤 다음 번 메일에는 악성코드를 심는 전략을 사용했다는 이야기다. 특히 해커는 사례금 지급을 미끼로 수신자의 심리를 자극해 악성 문서를 열어보도록 유도했다.

ESRC는 “라자루스 조직은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고 BMP 포맷으로 변환하는 공격 방식을 취했다”면서 “이는 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피(Steganography)’ 기법이다”고 설명했다.

문 이사는 “기존에 널리 쓰이던 HWP 문서의 포스트스크립트(PostScript) 취약점 대신 최근에는 DOC 매크로(Macro) 공격이 상대적으로 우위를 점하고 있다”면서 “반드시 최신 버전의 오피스 프로그램을 사용하고 보안 기능을 상향 설정하는 것이 중요하다”고 강조했다.

한편, 북한 해커가 만든 공격 화면에 북한식 영어표현이 발견됐다.

ESRC는 “해당 공격들은 악성 매크로 기능이 실행되기 위해 사용자가 [콘텐츠 사용] 버튼을 누르도록 가짜 화면을 노출하고 있다”며 “초기 이 화면에서는 ‘프로그람’이라는 단어가 발견됐다”고 밝혔다.

‘프로그람’은 프로그램(Program)을 의미하는 북한식 영어 표기이다. 평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 사이버 위협 배후 조사에 있어 중요한 증거 지표로 활용된다. 북한 해커 역시 공격화면을 준비하면서 습관적으로 평소 사용하던 맞춤법을 사용한 것으로 보인다.

다만, 이후 발견된 공격에는 해당 문구 자체를 제거했지만, ‘William’이라는 이름이 동일하게 사용됐다. 공격자가 자신의 신분이 노출될 수 있는 사안을 수정한 후 공격에 활용한 모습이다.

탈륨 해커는 지난 2월 통일부를 사칭한 공격에서도 ‘조선로동당’이라는 북한식 표현을 사용했다 급하게 ‘조선노동당’으로 바꾼 바 있다.