국가정보원이 3일 공공분야 사이버 위기 경보를 ‘정상’에서 ‘관심’ 단계로 상향한 가운데, 북한 해킹 조직 소행으로 추정되는 새로운 사이버 공격이 포착됐다고 자유아시아방송이 4일 보도했다.

북한 당국과 연계된 것으로 알려진 해킹 조직 ‘탈륨’(Thallium)이 PDF 즉, 이동가능한 전자문서형식(Portable Document Format)의 취약점을 노린 공격을 감행하고 있는 것으로 나타났다.

3일 민간보안 업체 이스트시큐리티에 따르면, 새롭게 발견된 PDF 파일 취약점 공격은 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 하는 해킹 공격에 사용된 것으로 확인됐다.

이 업체는 이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과를 바탕으로 북한 연계 해킹 조직으로 알려진 ‘탈륨’을 그 배후로 지목했다.

‘탈륨’은 세계 최대 컴퓨터 소프트웨어 미국 기업인 마이크로소프트(MS)가 자신들의 인터넷 계정을 도용한 혐의로 미국 연방법원에 고소한 북한 해킹조직이다.

특히 ‘탈륨’은 최근 한국원자력연구원, 핵융합연구원, 항공우주연구원 등을 공격한 ‘김수키’(Kimsuky)와 동일한 조직으로 알려져 있다.

‘탈륨’ 조직은 최근까지 한국 내 전·현직 장차관급 고위 정부 인사 등을 상대로 계속해서 해킹 공격을 시도해왔다.

실제로 2021년 한미 정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 워드 문서를 악용하는 방식의 해킹 공격을 시도한 것으로 확인됐다.

이스트시큐리티의 문종현 이사는 “이번 ‘탈륨’ 조직은 한국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다”고 지적했다.

그러면서 “기존에 유행했던 악성 워드문서 형태와 더불어 PDF 취약점을 활용한 공격도 가세하고 있어, PDF 파일을 전자메일로 받을 경우 세심한 주의가 필요하다”고 강조했다.

국제 사이버보안 업체인 ‘파이어아이’(FireEye)의 벤 리드(Ben Read) 맨디언트 위협 인텔리전스 분석담당 디렉터도 “북한의 공격적인 사이버 프로그램은 일관되게 세계에서 가장 공격적인 프로그램 중 하나”라고 지적했다.

특히 그는 북한 공격자들은 간첩 활동과 현금확보 임무에서 북한 정부를 지원하기 위해 혁신적인 전술을 반복적으로 시도하고 있다고 분석했다.

그러면서 북한이 러시아와 중국만큼 기술적인 정교함을 가지고 있지는 않지만, 여전히 전세계의 조직들을 위태롭게 할 수 있으며, 많은 돈을 훔치는데 성공하고 있다고 지적했다.

국가정보원은 최근 국내 사이버 위협 상황을 반영해, ‘공공분야 사이버 위기 경보’를 3일 오전 9시를 기준으로 ‘정상’에서 ‘관심’ 단계로 상향했다.