“북 해커, 인터넷 익스플로러 취약점 공격”

사진은 지난 2010년 인터넷 익스플로러9 베타 버전을 최초로 소개하는 행사 모습.

앵커: 북한 당국과 연계된 것으로 알려진 해킹 조직 ‘탈륨’(Thallium)의 사이버 공격이 끊이지 않는 가운데, 탈륨이 한국에서 여전히 많이 사용되는 인터넷 탐색기(web browser)인 ‘인터넷 익스플로러’의 취약점을 노린 공격을 감행하는 것으로 나타났습니다. 이경하 기자가 보도합니다.

한국의 정보보안업체 엔키(ENKI)는 최근 보고서를 통해 북한 해킹 조직인 ‘탈륨’이 인터넷 웹브라우저(북한명: 열람기)인 ‘인터넷 익스플로러’의 취약성을 이용해 한국 보안 업계 직원을 대상으로 ‘제로 데이 공격’(Zero-Day Attack)을 감행했다고 밝혔습니다.

‘제로 데이 공격’은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 갱신(update)이나 수정(patch)이 되지 않은 상황에서 이루어지는 공격을 말합니다.

그러면서 보고서는 이 수법이 최근 세계 최대 인터넷 검색 업체 구글 위협분석그룹(TAG)이 밝힌 ‘탈륨’의 수법과 비슷하지만, 다른 최신 웹 브라우저와는 달리 오래된 ‘인터넷 익스플로러’의 취약성을 이용했다고 지적했습니다.

특히 엔키는 보고서에서 ‘인터넷 익스플로러’의 ‘제로 데이’ 취약점을 이용한 것 외에도 공격자가 오랜 기간 보안 연구자로 둔갑한 인터넷 사회연결망 계정을 준비하고 이를 활용한 것이 특징이라고 지적했습니다.

이어 보고서는 북한이 인터넷 사회연결망을 이용해 미국 뿐만 아니라 한국 내 사이버 보안 연구원들을 상대로 친분을 쌓은 후 해킹 시도를 지속하고 있다고 지적했습니다.

그러면서 보고서는 컴퓨터 기술은 해킹 사고의 근본적 원인인 보안 취약점이 발생하지 않도록 발전하고 있지만, 이번 사례와 같이 부주의한 사람의 실수를 대상으로 하는 사이버 공격은 앞으로도 빈번히 발생할 것으로 예상된다고 전망했습니다.

이런 가운데, 한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 8일 한국 전직 정보기관 관리의 ‘북한 제8차 당대회 평가 분석’ 문서로 위장한 악성 워드문서(docx)를 미끼로 한 ‘탈륨’의 사이버 공격이 포착됐다고 자유아시아방송(RFA)에 밝혔습니다.

이 업체에 따르면 ‘탈륨’은 한기범 전 국정원 1차장이 지난달 15일 작성한 것으로 위장한 ‘2021-0112종합 당대회 평가’와 ‘당대회 결론’이라는 제목의 워드 문서 파일(docx) 두 개로 사이버 공격을 감행하고 있습니다. (사진참고)

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)에 따르면 ‘탈륨’은 ‘2021-0112종합 당대회 평가’와 ‘당대회 결론’이라는 제목의 워드 문서 파일(docx) 두 개로 사이버 공격을 감행했다. /이스트시큐리티.

2개의 문서가 각각 실행될 때 보여지는 본문을 비교해 보면 하나는 북한의 제8차 당대회 평가를 종합하는 내용이 60쪽 담겨 있고, 다른 하나는 김정은 총비서의 8차 당대회 결론 내용을 2쪽 포함했습니다.

그러면서 이처럼 악성 문서 파일을 기반으로 공격한 점을 미뤄볼 때, 이번 공격은 전형적인 ‘스피어 피싱’ 공격이라고 이스트시큐리티 측은 밝혔습니다.

‘스피어 피싱’ 방식은 전자우편을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

특히 이 업체는 북한에 대한 사회적 관심이 높아지고 있는 상황을 노려, ‘탈륨’이 정보를 탈취하기 위해 사람 간의 신뢰를 기반으로 하는 ‘사회공학기법’, ‘스피어피싱’ 방식 등을 주로 사용하고 있다고 지적했습니다.

아울러 한국 내 민간보업업체 안랩 시큐리티대응센터(ASEC)도 최근 보고서에서 ‘2021년 국방부 업무보고 수정’ 문서로 위장해 악성코드가 함께 유포된 정황을 확인했다고 밝혔습니다. (사진참고)

한국 내 민간보업업체 안랩 시큐리티대응센터(ASEC)가 ‘2021년 국방부 업무보고 수정’ 문서로 위장해 악성코드가 함께 유포된 정황을 확인했다. /안랩 시큐리티대응센터.

현재 한국 국방부 홈페이지에서 제공하는 정상 PDF 문서의 내용과 동일한 파일로 보여지는 수법을 토대로 이뤄진 이번 공격도 ‘탈륨’의 소행인 것으로 알려졌습니다.

이와 관련, 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 8일 자유아시아방송(RFA)에 “탈륨은 2021년 새해에도 여전히 전 세계적인 사이버 위협”이라고 지적했습니다.

그러면서 문 이사는 최근 탈륨이 한국과 미국 뿐만 아니라 북한 경제 분야에서 활동하는 러시아 연구원까지 겨냥하는 등 무차별적인 전방위 공격을 지속하고 있다고 지적했습니다.

미국 민간연구기관인 민주주의수호재단(FDD)의 사이버전문가인 매튜 하 연구원도 8일 자유아시아방송(RFA)에 북한 해커들이 새로운 보안 취약성을 지속적으로 연구해서 공격을 감행할 뿐만 아니라, 공격 대상과 범위를 확장하고 있다고 밝혔습니다.

하 연구원: 전반적으로 중요한 점은 북한 해커들이 잠재적인 피해자들의 특성에 맞게 아주 교묘하게 침입 방법을 고안하고 있다는 겁니다.

그러면서 하 연구원은 최근 북한 해커들이 자금을 갈취하기 위한 사이버 공격 보다는 사이버 보안 전문가들을 대상으로 공격을 벌이면서, 미래에 악용할 수 있는 사이버 공격 수법과 지식을 얻기 위해 노력하고 있다고 지적했습니다.

“북 해커, 인터넷 익스플로러 취약점 공격” — RFA 자유아시아방송

“북 해커, 인터넷 익스플로러 취약점 공격”