통일부, 통일연구원 공식 이메일 둔갑… 北 연계 탈륨 해킹 합법 토토 주의보

​

최근‘탈륨’또는‘김수키’등의이름으로널리알려진北연계해킹조직소행으로지목된APT(지능형지속위협)합법 토토이국내에서연이어발견되고있어각별한주의가필요합니다.

이번에새롭게발견된APT합법 토토은통일부를사칭한이메일합법 토토과통일연구원을사칭한이메일해킹합법 토토유형등입니다.

먼저통일부사칭합법 토토은지난06월22일수행됐고,통일연구원을사칭한합법 토토은24일포착됐습니다.

두합법 토토모두거의동일한시기에‘북한의당중앙위원회제8기제3차전원회의분석’주제와관련된내용처럼수신자를현혹하는공통점이발견됐습니다.

특히,수신자들이해당이메일을해킹합법 토토으로의심하지않도록각발신지주소를실제통일부(analysis@unikorea.go.kr)와통일연구원(mail@kinu.or.kr)의공식이메일주소처럼정교하게조작하는해킹수법을사용했습니다.

따라서일반인수준에서육안상으로발신지가허위로조작됐다고판단하기에현실적인어려움이존재합니다.

ESRC에서이메일발송지를역추적한결과두합법 토토사례모두servera94.opencom[.]com[121.78.88.94]서버가활용된정황이포착됐고,조사결과꽤오래전부터합법 토토거점으로악용된것으로드러났습니다.

한편,지난06월18일국가안보전략연구원을사칭한합법 토토과21일보고된한국인터넷진흥원(KISA)을사칭한합법 토토모두동일한서버가악용된점도주목됩니다.

최근보고된사례는본문내악성문서파일을열어보도록현혹하는전형적인첨부파일유형의합법 토토처럼보이지만,실제로는첨부파일이아닌악성URL링크를삽입한포털계정탈취목적의합법 토토이고,별도의악성파일을사용하지않아보안서비스의위협탐지를회피하기위한목적으로예상됩니다.

합법 토토자가발송한이메일본문에는마치통일부나통일연구원에서공식발행한것처럼교묘하게도용된화면이사용됐고,HWP나PDF문서전문이첨부된것처럼화면을보여주며클릭을유도합니다.

만약해당링크를클릭하면문서가보이는대신이메일수신자의로그인암호입력을요구하는화면을먼저보여줍니다.

이때이메일주소의암호를입력하면합법 토토자에게암호가은밀하게전송돼이메일을통해주고받은개인정보가지속유출되는것은물론,합법 토토자가계정을도용해주변지인에게접근을시도하는등2차가해자로전락할우려도있습니다.

이메일암호가유출된직후,실제정상문서를보여주어수신자가신뢰하도록속임수를사용한다며,보이는문서가공식사이트에등록된상태인지꼼꼼히살펴보고현혹되지않도록세심한주의가필요합니다.

최근위협에악용된정상문서화면을목격한적이없었는지확인하고,유사사례에노출된경우신속히사용중인이메일암호를변경하고2차인증등을설정하는것이필요합니다.

[최근위협에악용된정상문서]
-uti.co[.]kr/member/data/download/1.pdf
-jyle.co[.]kr/member/data/download/1.pdf
-uandp.co[.]kr/online/data/download/1.hwp

ESRC는 유사한 위협 사례들을 지속적으로 추적 연구하고 있으며, 탈륨 조직이 합법 토토 소행 배후에 있는 것으로 지목했습니다.

탈륨조직은평소외교안보통일분야종사자와취재기자들을상대로이러한합법 토토을수행하고있는데,주로기관및회사공식이메일보다는포털에서제공하는무료이메일계정으로합법 토토을이어가고있는추세입니다.

전문가는“탈륨조직은최근원자력국책연구기관을포함해국방분야무기체계를연구하는특정방위산업체까지거의전방위적인사이버공세를이어가고있어민관의보다긴밀한협력과대비가필요하다”며,“갈수록우리나라의사이버위협수위가고조되고있기때문에,보다면밀하고빈틈없는사이버안보강화노력이필요할때다”라고당부했습니다.

이어“탈륨의정교한해킹이메일합법 토토이국내에서빈번하게발생하고있지만,발신지이메일주소만으로악성유무를쉽게판별하기어려워,주요포털회사를포함해관계자들 간유기적협조와대응방안모색이중요하다”라고덧붙였습니다.

보다 자세한 분석 보고서과 관련된 IoC는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다.