탈륨, 한국·미국뿐만 아니라 러시아 연구원 겨냥한 사이버 공격 시도
2019년 국내 공격 시 사용한 명령제어 서버 이번 공격에 재활용
유사 공격사례의 악성문서 파일에서도 북한 글꼴(폰트) 사용 발견

[보안뉴스 이상우 기자] 북한을 배후에 둔 것으로 알려진 사이버 공격 조직 ‘탈륨(Thallium)’이 북한 경제분야에서 활동하는 러시아 연구원을 상대로 지능형 지속위협 공격(APT)을 펼친 것으로 드러났다. 탈륨은 최근까지도 국내 주요 기관 및 국내 북한 관련 단체, 언론사 등을 사칭하며 정치적 목적의 스피어 피싱을 펼쳐왔다. 특히, 공격 방식이나 공격에 사용하는 명령제어 서버 주소 등을 통해 북한의 또 다른 공격 조직인 김수키(Kimsuky)와 동일한 조직으로 추정하고 있다.


이스트시큐리티 ESRC(시큐리티대응센터)는 위협 인텔리전스인 ‘쓰렛 인사이드(Threat Inside)’ 보고서를 통해 러시아의 북한 경제분야 연구원이 APT 공격에 노출됐다고 밝혔으며, 공격 배후를 북한 당국과 연계한 것으로 알려진 ‘탈륨’의 소행으로 지목했다. 이들은 2021년 새해에도 APT 그룹 중 가장 활발한 움직임이 포착되고 있다고 덧붙였다.

이번에 포착된 공격은 2021년 1월에 발견됐으며, 단축 URL 서비스로 피싱 사이트 주소를 피해자에게 전달했다. 만약 수신자가 실제 러시아 이메일 서비스로 착각해 자신의 암호를 입력하면 공격자 서버로 암호가 유출된다.


특히, 이번 공격에 사용된 명령제어(C&C) 서버의 주소는 지난 2019년 ‘입사지원서.zip’ 파일로 한국의 특정인을 공격할 때 쓰인 해외 호스팅 서버와 정확히 일치하는 것으로 드러났다. 뿐만 아니라 해당 공격과 종속된 일부 웹 서버는 주로 ‘북한 인권’ 주제나 ‘북-러 회담’, ‘북한 미사일 프로그램’ 등과 연관된 문서들이 사용됐던 이력들이 존재했다. 이처럼 위협 조직은 과거에 사용하던 거점을 목적에 따라 다시 재활용하는 경우가 있으며, 이런 경우 배후 조사에 주요 단서로 활용될 수 있게 된다.

이와 함께 ESRC는 러시아 연구원 공격의 연관성 분석을 통해 유사 C&C 서버가 연계된 일부 문서에서 북한 ‘청봉체(KP CheongPong)’ 글꼴을 사용한 흔적도 발견했다. 보통 위협 조직들은 실전 공격을 수행하기 전에 사전 테스트 목적으로 자신이 가지고 있던 문서를 활용하는 경우가 있는데, 이번에 발견된 것도 이러한 형태로 추정된다.


이스트시큐리티 ESRC 문종현 센터장은 “탈륨 조직이 한국과 미국을 포함해 러시아 연구원까지 공격 대상으로 삼고 있다는 점에 주목해야 하며, 이들의 위협 활동을 면밀하게 살펴보고 위협 인텔리전스 기반의 방어 전략을 수립해야 한다”고 당부했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>