통합 보안기업 이스트시큐리티는 3일 국내에서 악성 PDF 문서파일을 활용하는 지능형 지속위협(APT) 공격이 계속 발견되고 있다며 주의를 당부했다.
이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 이번에 발견된 PDF 파일은 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 등 전현직 종사자를 대상으로 한 해킹에 활용됐다.
공격자는 이메일에 국내 특정 사단법인이 주관하는 평화 경제 최고경영자 과정 안내자료를 첨부했다. 실제 파일을 열어보면 관련 안내자료가 보인다. 문서를 열어보면 PDF 파일 내에 은닉된 코드가 작동된다.
ESRC는 북한 연계 해킹조직으로 알려진 '탈륨'을 배후로 지목했다. 실제로 공격에 활용된 서버 영문 도메인 주소를 한글 키보드로 지환하면 '산께이(tksRpdl)'라는 일본식 단어로 바뀐다. 사시미(tktlal)라는 표현의 도메인도 활용됐다. 탈륨 조직의 유사 공격에서 여러 차례 발견된 'WebKitFormBoundarywhpFxMBe19cSjFn' 통신 문자열이 이번 공격에서도 동일하게 발견됐다.
공격자는 악성 행위 탐지와 분석 환경을 회피하기 위해, 감염된 PC가 사용하고 있는 국내 보안 프로그램을 조회하고 레지스트리 키를 통해 가상(VMware) 환경 여부도 확인하는 치밀함을 보였다.
문종현 이스트시큐리티 ESRC센터장은 "이번 탈륨 조직의 공격은 국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다"며 "기존에 유행했던 MS 문서 형태와 더불어 PDF 취약점을 활용한 공격도 이어지고 있어, PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구된다"고 당부했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]