통일부 직원 이메일 계정 사칭한 APT공격 발견 ‘주의보’

국내에서 통일부 직원의 업무용 메일을 사칭한 지능형위협(APT) 공격이 다수 발견돼 주의가 요구된다.

13일 이스트시큐리티에 따르면, 이번 악성 이메일 공격은 통일부 정착지원과의 모 사무관이 발송한 것처럼 위장하고 있다. 

이메일에는 ‘최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다’는 내용과 ‘210811_업무연락(사이버안전).doc’ 이름의 악성문서 파일이 첨부돼 배포됐다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이 공격이 국내 대북분야 종사자를 대상으로 수행된 것으로 확인했다.

최근 국내 사이버 보안위협 증가에 따른 민관 사이버 위기 경보가 정상에서 관심 단계로 격상되면서 공직자와 대북관계자의 관심이 높아져 첨부파일을 열어볼 가능성이 크다는 점을 교묘히 노린 것으로 ESRC는 분석했다.

지난 5월 북한연계 해킹조직인 탈륨이 수행한 작전명 ‘사이버 스톰’ 공격과 동일한 계열의 코드 등 유사점이 발견되면서 이번 공격 역시 탈륨이 배후인 것으로 보인다.

탈륨조직은 오랜 기간 DOC 형식의 악성 문서를 활용해 국내 전현직 고위 정부인사 등을 상대로 해킹공격을 시도해 왔다. 최근에는 국내 유명 방송 및 언론사의 주요 간부나 국장급을 상대로 PDF 취약점(CVE-2020-9715) 공격도 수행했다.

ESRC는 첨부된 악성 DOC 문서파일 내부에 악성 매크로 코드가 숨겨져 있고 추가 악성명령을 수행하기 위해 국내 특정 고시학원 사이트 서버를 탈취해 명령제어서버(C2)로 활용한 것으로 분석했다.

메일 수신자가 첨부된 악성 DOC 문서파일을 열면 ‘콘텐츠 사용’ 버튼이 제시된 위조 안내화면이 나온다. 문서에 삽입된 매크로 코드가 사용자의 허가없이 동작하지 않도록 차단하는 일종의 ‘보안 기능’으로, 이를 클릭하면 악성 매크로가 동작하는 구조다.

ESRC센터장 문종현 이사는 “현재 북한연계 해킹조직의 대남 사이버공작 활동이 예사롭지 않고 대북분야에서 활동하는 고위 유력인사를 집중 겨냥해 공격을 수행하고 있다”며 “이메일로 PDF, DOC 형식의 문서를 받았을 때, 이를 열어보기 전에 이메일 발신자에 전화 등을 통해 실제 발송 여부를 확인하는 것이 중요하다”고 당부했다.