머니투데이

속보
VIP
통합검색

"北 해커세력, 대북 전문가 노린다" 악성 PDF 파일 유포 잇따라

머니투데이
  • 차현아 기자
  • 카카오톡 공유하기
  • 카카오톡 나에게 전송하기
  • 페이스북
  • 트위터
  • 네이버
  • 카카오스토리
  • 텔레그램
  • 문자
  • 2021.08.03 10:04
  • 글자크기조절
  • 의견 남기기
악성 PDF 문서가 실행되는 보여지는 화면. /사진제공=이스트시큐리티
악성 PDF 문서가 실행되는 보여지는 화면. /사진제공=이스트시큐리티
국내 외교·안보·국방 분야 전현직 고위인사를 겨냥한 해킹 공격이 잇따르고 있다. 이들에게 악성코드가 담긴 PDF 파일을 전송한 뒤 개인정보를 탈취하거나 원격제어를 시도하는 것으로, 업계에서는 북한 해커를 배후로 보고 있다.

통합 보안기업 이스트시큐리티는 3일 국내에서 악성 PDF 문서파일을 활용하는 지능형 지속위협(APT) 공격이 계속 발견되고 있다며 주의를 당부했다.

이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 이번에 발견된 PDF 파일은 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 등 전현직 종사자를 대상으로 한 해킹에 활용됐다.

공격자는 이메일에 국내 특정 사단법인이 주관하는 평화 경제 최고경영자 과정 안내자료를 첨부했다. 실제 파일을 열어보면 관련 안내자료가 보인다. 문서를 열어보면 PDF 파일 내에 은닉된 코드가 작동된다.

ESRC는 북한 연계 해킹조직으로 알려진 '탈륨'을 배후로 지목했다. 실제로 공격에 활용된 서버 영문 도메인 주소를 한글 키보드로 지환하면 '산께이(tksRpdl)'라는 일본식 단어로 바뀐다. 사시미(tktlal)라는 표현의 도메인도 활용됐다. 탈륨 조직의 유사 공격에서 여러 차례 발견된 'WebKitFormBoundarywhpFxMBe19cSjFn' 통신 문자열이 이번 공격에서도 동일하게 발견됐다.

공격자는 악성 행위 탐지와 분석 환경을 회피하기 위해, 감염된 PC가 사용하고 있는 국내 보안 프로그램을 조회하고 레지스트리 키를 통해 가상(VMware) 환경 여부도 확인하는 치밀함을 보였다.

문종현 이스트시큐리티 ESRC센터장은 "이번 탈륨 조직의 공격은 국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다"며 "기존에 유행했던 MS 문서 형태와 더불어 PDF 취약점을 활용한 공격도 이어지고 있어, PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구된다"고 당부했다.



머니투데이 주요뉴스

신도시 호재에 우르르…4.7억 남양주 땅, 40억에 팔렸다

베스트클릭

오늘의 꿀팁

  • 날씨
  • 건강쏙쏙

많이 본 뉴스

머니투데이 페이스북 퀴즈 이벤트
부꾸미
제10회 청년 기업가 대회 참여모집 (-09/30)
사회안전지수

포토 / 영상

머니투데이 SERVICE