북 해킹조직 탈륨

출처#1. https://n.news.naver.com/article/018/0004730566

---

ㅇ [보안 따라잡기]`이건 또 뭐야` 새롭게 등장한 北 해킹조직 탈륨

 

ㅡ 북한 정부를 배후로 둔 것으로 추정되는 해킹 조직의 사이버 공격이 기승을 부리는 가운데 `탈륨` 조직의 활동.

국내 대북 대북 분야 활동가들을 대상으로 악성 메일을 유포할 뿐만 아니라 최근에는 개성공단 근무자 관계 연구, 아태지역 연구논문 투고 규정으로 사칭한 공격도 발견돼 주의가 요구

 

ㅡ 국내 보안 전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨 조직을 북한 배후로 추정되는 `김수키` 조직의 연장선으로 분석

 

ㅡ 문종현 ESRC센터장은

“탈륨 조직은 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”며

“대부분의 기관이나 기업에서 공식적으로 발표를 못하는 상황일 뿐이지, 공개되지 않은 공격은 너무 많다”고 설명

 

ㅡ 탈륨 조직의 지능형지속위협(APT) 공격 수법이 갈수록 다양화·고도화되는 추세

지난달에 보고된 공격 사례는 이메일 서비스 보안팀이 계정 오류 확인 요청으로 보낸 공식 내용처럼 위장했으며, 본인 확인을 유도해 암호를 탈취시도하는 수법을 활용
또 국내 대기업에서 제공하는 클라우드 갤러리 서비스를 사칭해 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하기도 했다.

이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인됐다는 안내와 함께, 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 `자주 묻는 질문`을 보여준다.

해당 문구를 클릭하면 공격자가 사전에 설정해둔 악성 인터넷주소(URL)로 연결되도록 했다.
이달 들어서는 개성공단 근무자 관계 연구 내용을 담은 문서와 아태지역 연구 논문 투고서류처럼 위장한 파일이 발견됐다.

지금까지 탈륨 조직은 hwp·docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 `스피어 피싱` 공격 수법을 사용했으나, 이번에 새롭게 발견된 악성 파일은 EXE 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다.