게티이미지뱅크
최근 북한과 연관된 연구자나 관련기관 및 언론사 등에 대한 전방위적인 사이버 공격이 잇따르면서 배후에 대한 관심이 쏠리고 있다. 보안업계에선 일단 교묘해진 수법 등을 감안할 때 '탈륨(Thallium)'으로 알려진 북한의 해킹 단체의 소행일 가능성에 무게를 두고 있다. 탈륨은 지난해 12월 미국 마이크로소프트(MS)에서 자신들의 인터넷 계정을 도용했다며 미 버지니아주 연방법원에 고발한 단체이기도 하다.
이달 24일 대북 분야 종사자에게 수행된 피싱 공격 이메일 화면. 마치 삼성 클라우드 서비스에서 정식으로 보낸 듯 꾸민 이메일로, '자주 묻는 질문'을 누르면 악성 주소로 연결된다. 이스트시큐리티 제공
대북 분야 종사자 목표로 한 정교한 공격 계속돼
보안업체 이스트시큐리티는 24일 북한 관련 분야 종사자를 상대로 한 정교한 이메일 피싱 공격이 다수 발견됐다고 25일 밝혔다. 방식은 '삼성 클라우드'를 사칭한 이메일이다. 이메일은 "고객님의 삼성 클라우드 갤러리 서비스 사용이 확인됐다"며 "궁금한 사항이 대한 자세한 문의는 고객지원 사이트 '자주 묻는 질문' 또는 1:1 문의를 이용해달라"는 내용을 담고 있다. 해당 메일 본문에는 삼성전자 로고나 주소, 고객센터 번호 등도 함께 담겨 있어 자세히 들여다보지 않으면 가짜인지 파악하기 쉽지 않다.
메일 수신자가 다른 글씨와 달리 강조돼 있는 '자주 묻는 질문'이라는 문구를 클릭하면, 그 즉시 공격자가 사전에 설정해둔 악성 주소로 연결된다. 그러나 '함정' 주소에 몇 초간 머문 뒤 링크는 곧바로 실제 삼성전자의 정상적인 고객지원센터 페이지로 연결된다. 피해자조차 악성 위협에 노출된 것을 인지할 수 없도록 한 것이다.
이번 공격은 '테스트'에 가까웠다는 게 이스트시큐리티측 설명이다. 저장돼된 정보를 빼간다거나 해당 컴퓨터(PC)나 스마트폰을 '좀비'로 만들 정도로 심각한 것은 아니었기 때문이다. 다만 해커들은 일반적으로 이런 테스트 공격으로 어떤 대상이 어떤 공격에 취약한지를 파악한다. 이스트시큐리티 관계자는 "북한 관련 업무 종사자 다수에게 같은 메일을 보냈을 때, 일부가 반응을 한다면 그런 것들이 해커에겐 하나의 데이터가 되는 것"이라며 "결정적일 때 공격할 대상과 방법을 찾는 과정"이라고 설명했다.
이달 11일에는 북한 관련 취재를 하는 언론사 기자들을 상대로 한 이메일 피싱 사건도 발생했다. 당시 공격자는 네이버 이메일 계정에 오류가 발생한 것처럼 조작해 특정 인터넷 주소를 클릭하도록 유도했고, 해당 주소를 클릭하면 실제 네이버 로그인 페이지와 거의 유사한 페이지가 뜨도록 했다. 해당 사이트에 아이디와 비밀번호를 입력하면 계정 정보가 탈취되는 방식이다.
이달 11일 발생한 네이버 메일 사칭 피싱 공격 이메일. 언뜻 봐서는 피싱 화면인지 알기 쉽지 않다. 이스트시큐리티 제공
해킹그룹 '탈륨', 배후는 북한으로 추정... 'APT37'이나 '킴수키'와의 연관성도
이스트시큐리티는 수 차례 이어진 정교한 이메일 피싱 공격의 배후로 '탈륨'을 의심하고 있다. 해당 공격에서 사용됐던 서버가 올해 5월과 7월에 있었던 북한 관련 업무 종사자 대상 악성코드 공격에 활용된 서버와 같거나 연계돼 있었기 때문이다. 문종현 이스트시큐리티 ESRC센터장은 "탈륨은 한국에서 주로 정치, 외교, 안보, 통일, 국방 관련 전·현직자를 포함해 주요 정부 기관 자문위원 교수진과 북한 전문 취재기자들을 공격 대상으로 삼고 있다"고 설명했다.
지난해 탈륨에 소송을 제기한 MS 측에선 탈륨이 북한의 해커 그룹으로 알려진 'APT37'과 동일한 조직이라고 보고 있다. APT37은 2012년부터 활동을 시작해 한국 공공 및 민간 부문을 대상으로 다양한 공격을 해왔고, 2017년을 전후해서는 일본과 베트남, 중동 등으로 공격 범위를 넓혀온 조직이다. 해당 조직을 발견해 APT37이라는 이름을 붙인 미국 보안업체 파이어아이는 △인터넷프로토콜(IP)주소와 접속지점이 북한과 관련이 있고 △악성코드가 북한 시간에 맞춰져 있으며 △주 공격 대상이 한국, 탈북자, 통일 관련 개인 및 단체에 집중돼 있다는 점을 들어 APT37이 북한 정권의 사이버 간첩 조직이라고 주장했다.
APT37은 지난해 주영 북한대사관 공사를 지낸 태영호 미래통합당 의원의 스마트폰을 해킹해 문자메시지와 사진, 주소록, 단말기 정보 등을 유출한 곳으로도 알려져 있다. 지난해 7월엔 미래통합당 의원실에 '여의도연구원'을 사칭해 악성코드를 담은 이메일을 뿌렸는데, 해당 문서를 열어본 PC는 바이러스에 감염돼 정보가 빠져나간 것으로 전해졌다. 북한이 배후에 있다는 점에서 해당 조직이 2014년 한국수력원자력에 사이버 공격을 감행한 해커조직 '킴수키(Kimsuky)'와 같은 곳이라는 분석도 나온다.
공격이 점점 정교해지고 있는 만큼, 적절한 백신 사용은 물론 개개인의 주의가 더욱 필요하다는 게 전문가들의 조언이다. 이스트시큐리티 관계자는 "메일 발신자를 잘 봐야 하는데, 'Samsung(삼성)'을 'Samsuung'이라고 표기한다든지, 'microsoft(마이크로소프트)'의 철자 'm'을 'r'과 'n'을 붙여 'rn'으로 쓰는 등 아주 교묘한 경우가 대부분"이라며 "조금이라도 미심쩍을 땐 첨부파일을 열어보지 말고, 링크는 주소를 먼저 확인한 다음 정상적인 주소일 때만 접속해야 한다"고 강조했다.
기사 URL이 복사되었습니다.
댓글0