보안 전문 기업 이스트시큐리티는 북한 정부와 공식적으로 연계된 것으로 알려진 해킹조직 ‘탈륨’(Thallium)과 ‘라자루스’(Lazarus)가 국내 외교·안보·국방·통일 분야 종사자를 주요 공격대상으로 삼아 사이버 위협 활동을 펼치고 있다며 각별한 주의가 필요하다고 20일 밝혔다.

이들의 공격 방식은 주로 이메일에 악성 DOC 문서를 첨부하는 전통적 방식으로, 이번에 발견된 공격에는 '안보 연구 평가 설문'을 사칭한 이메일 공격 수법이 활용됐다. 공격자가 수신자에게 최초로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서가 첨부돼 수신자의 의심을 낮추고 신뢰도를 높였다. 이후 이메일에서는 사례금 지급을 미끼로 수신자의 심리를 자극한 후 악성 문서를 열람하도록 유도했다.

이스트시큐리티는 최근 포착된 여러 사례들을 종합 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입한 것으로 보인다고 설명했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로, 보안 기능이 높은 것으로 알려져 있어 랜섬웨어 제작자들이 비트코인을 요구하거나 협상 시 활용하는 대표 이메일 서비스다.

또 라자루스 조직은 DOC 문서 파일 내부에 조작된 PNG 포맷의 데이터를 삽입하고, 이 데이터를 WIA_ConvertImage 매크로 함수를 통해 BMP 포맷으로 변환하는 공격 방식을 취했다. 이는 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피’ 기법으로, 문서를 실행하면 내부에 숨겨둔 악성 스크립트가 호출되는 전략을 새롭게 구사했다.

현재 이와 유사하게 ‘참가신청서양식.doc’, ‘생활비지급.doc’ 등의 파일을 활용한 공격 사례도 포착되고 있다. 해당 공격들은 악성 매크로 기능이 실행되기 위해 사용자가 '콘텐츠 사용' 버튼을 누르도록 가짜 화면을 노출하고 있으며, 초기 이 화면에서는 ‘프로그람’이라는 단어가 발견됐다.

한편 이스트시큐리티는 새롭게 발견된 악성 파일을 보안제품 알약(ALYac)에 긴급 추가했다. 현재 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.