침해사고/위협동향

통일부·통일연구원 사칭한 이메일 유포··· 北 해커조직 탈륨 소행으로 추정

이종현
[디지털데일리 이종현기자] 한국원자력연구원이 북한을 배후로 둔 해킹조직 ‘김수키’에 공격받은 것으로 알려진 가운데 같은 조직으로 추정되는 ‘탈륨’의 지능형지속위협(APT) 공격이 국내 곳곳에서 발견되고 있다.

25일 보안기업 이스트시큐리티는 북한 연계 해킹 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있다며 주의를 당부했다.

이번에 발견된 것은 통일부·통일연구원을 사칭한 이메일 공격이다. 통일부를 사칭한 공격은 지난 22일, 통일연구원을 사칭한 공격은 24일 각각 포착됐다.

거의 동일한 시기에 수행된 두 공격은 ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’을 내용으로 메일 수진자를 속였다. 메일 발신지 주소를 실제 통일부와 통일연구원의 공식 이메일주소처럼 조작한 것도 특징 중 하나다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과 이번 공격은 악성 인터넷주소(URL) 링크를 삽입한 포털 계정 탈취 목적의 공격이다. 별도의 악성 파일을 사용하지 않아 백신 등 보안 솔루션의 위협 탐지를 회피하기 위한 목적으로 예상된다는 것이 이스트시큐리티의 설명이다.

공격자는 통일부나 통일연구원에서 공식 발행한 것처럼 이메일 본문을 위장했다. 문서파일이 첨부된 것처럼 화면을 보여주며 클릭을 유도, 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 방식이다. 이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 전송돼 이메일 계정이 탈취된다.

ESRC는 “사용자가 이메일 계정정보를 입력하면 정보를 유출하는 동시에 정상적인 문서를 보여줘 정보유출을 인지하지 못하도록 하고 있다. 보여지는 문서가 공식 사이트에 등록된 상태인지 꼼꼼히 살펴보고 현혹되지 않도록 주의해야 한다”며 “최근 유사 사례에 노출된 경우 사용 중인 이메일 암호를 변경하고 2차 인증 등을 설정해야 한다”고 조언했다.
국가안보전략연구원 정상 문서(좌)와 통일연구원 정상 문서(우)
국가안보전략연구원 정상 문서(좌)와 통일연구원 정상 문서(우)

한편 ESRC는 공격자의 이메일 발송지를 역추적한 결과 2개 공격 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황을 포착했다. 이 서버는 지난 18일 국가안보전략연구원을 사칭한 공격과 21일 보고된 한국인터넷진흥원(KISA) 사칭 공격에도 공격 거점으로 악용된 바 있다.

문종현 이스트시큐리티 ESRC센터장은 “탈륨은 최근 원자력 국책 연구기관을 포함해 국방분야 무기체계를 연구하는 특정 방위산업체까지 전방위적인 사이버 공세를 이어가고 있다”며 “민관차원에서 보다 긴밀한 협력과 대비가 필요하다”고 강조했다.

현재 ESRC는 탈륨 조직의 공격으로 추정되는 유사한 위협 사례들을 지속적으로 추적 연구하고 있다. 탈륨 조직은 평소 외교 안보 통일 분야 종사자와 취재 기자들을 상대로 이러한 공격을 수행하고 있다. 주로 기관과 회사 공식 이메일보다는 포털에서 제공하는 무료 이메일 계정으로 공격을 이어가는 추세다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널