[뉴스토마토 배한님 기자] 대북 연구 분야 종사자·탈북민·북한 관련 취재 기자 등 대북 분야 관련 종사자를 대상으로 한 사이버 공격이 이어져 사용자의 주의가 요구되고 있다. 

 

이스트시큐리티는 지난 24일 특정 대북 분야 종사자를 상대로 한 이메일 피싱 공격이 발견됐다고 25일 밝혔다. 

 

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 공격에는 국내 대기업에서 제공하는 클라우드 갤러리 서비스에서 공식적으로 발송한 것으로 보이게끔 꾸민 악성 이메일을 발송하는 수법이 사용됐다.

 

이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인되었다는 안내와 함께 강조된 글씨체로 '자주 묻는 질문'을 보여준다. 이 문구를 클릭하면 공격자가 사전에 설정해둔 악성 URL로 연결된다.

 

 

ESRC는 이번 피싱 공격에 사용된 명령제어서버(C2)를 조사한 결과, 일자리 소개, 근로자 파견 등을 하는 국내 특정 아웃소싱 회사의 서버가 악용된 것으로 확인했다.

 

공격자는 해당 서버로 수신자가 악성 주소로 접근하는지 확인하고, 피싱 링크에서 사용자 환경 정보를 수집한다. 이후 사용자에게 보이는 화면은 실제 클라우드 서비스의 정상적인 고객지원 센터 페이지로 리디렉션(redirection) 시켜 악성 위협에 노출된 것을 인지하지 못하도록 만들었다.

 

ESRC는 이번 피싱이 발송된 아이피(IP) 지역이 '탈륨(Thallium)' 지능형 지속위협(APT) 그룹의 활동 반경과 일치한다는 사실을 확인했다. 탈륨 그룹은 국내 방위 업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중적으로 공격하는 조직이다. 탈륨 그룹은 지난 11일에는 언론사 기자 상대로 맞춤형 이메일 피싱 공격 수행하기도 했다. 

 

이스트시큐리티 ESRC센터장인 문종현 이사는 "특정 정부가 연계된 것으로 알려진 탈륨 조직이 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다"고 설명했다. 

 

문 이사는 이어 "실제 발생하는 사이버 공격 중 언론 등을 통해 외부로 알려지는 사례는 극소수에 불과하고, 대다수는 외부에 알려지지 않거나 대수롭지 않게 여기는 경우가 비일비재하다"며 "탈륨 조직의 APT 공격 수법이 갈수록 다양화 고도화되는 추세이기 때문에, 보다 각별한 주의가 요구된다"고 당부했다.

 

배한님 기자 bhn@etomato.com