탈로스가 발표한 보고서에 따르면, 2017년 한 해 동안 ‘그룹(Group) 123’에 의해 ▲골든타임 ▲사악한 새해 ▲프리밀크(FreeMilk) ▲행복하십니까? ▲북한 인권 ▲사악한 새해 2018년 등 6가지 캠페인이 진행됐다.

분석 결과 ‘골든 타임’, ‘사악한 새해’, ‘북한 인권’ 캠페인은 모두 한국 사용자를 타깃으로 삼았으며, 공격자는 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 결합된 스피어 피싱 이메일을 사용했다.

‘프리밀크’ 캠페인은 한국 금융 기관뿐 아니라 전세계 금융 기관을 대상으로 진행됐다. 이 캠페인에서 공격자는 일반적으로 사용하던 HWP 문서가 아닌 ‘마이크로소프트 오피스(MS Office)’ 문서를 사용했다.

‘행복하십니까?’ 캠페인에서 공격자는 디스크 와이퍼를 구축했다. 공격 목적은 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지우는 것이었으며, 이 와이퍼는 ROKRAT 모듈인 것으로 확인됐다.

지난해 초 시작된 ‘그룹 123’의 ‘사악한 새해’ 캠페인은 한국 통일부에서 이메일을 보낸 것으로 가장해 피해자를 속이려고 시도했으며, 악성 첨부 파일을 포함하는 소수의 스피어 피싱 이메일로 시작됐다. 특히, 지난 2일에도 비슷한 캠페인이 발견됐다. 감염 벡터는 악성 HWP 문서였으며, 이 악성 문서는 북한 지도자의 2018년 신년사를 분석한 내용을 담고 있었다. 이 같은 접근 방식은 지난해 확인된 악성 문서를 사용하는 방식과 동일했다.

이처럼 종합적으로 보면 한국이 악성 공격 조직의 주요 타깃이 된 것으로 나타났다. 이들은 한국어를 자연스럽게 사용하고 지역 특성에 맞는 공격으로 공격 대상이 정보, 문서 또는 이메일을 합법적이라 생각하도록 유도하고 있다. 이 공격 조직은 상당히 높은 수준으로 한국 관련 지식을 보유하고 있는 것으로 추정된다.

이외에도 ‘그룹 123’은 HWP문서와 MS문서를 이용해 국내뿐 아니라 전세계를 대상으로 공격하고 있다. 공개 익스플로잇과 스크립팅 언어를 사용해 악성 페이로드를 설치하며, 합법적인 웹사이트와 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다. 이들은 다양한 공격 수단을 사용하지만 탈로스는 이들 공격의 패턴 및 유사점, 원격관리 툴, 와이퍼를 파악한 결과 최종적으로 ‘그룹 123’이 위의 공격을 시도했다고 결론지었다.

탈로스 관계자는 “‘그룹 123’은 당분간 사라지지 않고 끊임없이 진화하며 앞으로도 활발한 활동을 펼칠 것으로 예상된다”며, “또한 이 그룹의 대상 프로파일링은 변화할 수 있지만 현재로서는 한반도가 주요 대상이라고 판단된다”고 말했다.