침해사고/위협동향

北 해킹조직 김수키(탈륨), 노태우 전 대통령 뉴스 이용한 피싱 공격

이종현
[디지털데일리 이종현기자] 노태우 전 대통령의 조문 뉴스를 가장한 피싱 이메일이 유포되고 있다. 북한 연계 해킹 그룹으로 알려진 탈륨(김수키)의 소행으로 추정된다.

28일 보안기업 이스트시큐리티는 시사 정치 뉴스처럼 가장한 사회공학적 피싱 공격이 발견됐다고 밝혔다. 메일 속 인터넷주소(URL)를 클릭하면 실제 언론사의 뉴스 내용을 무단 인용한 가짜 사이트 화면으로 접속된다. 이때 사용자의 IP 주소 및 웹브라우저 등 정보 유출과 악성파일 설치 등의 위험성이 생긴다.

공격에 사용된 이메일은 보낸 사람과 주소가 ‘네이버 뉴스’으로 조작됐다. 메일 주소를 자세히 살펴보면 com 도메인이 아닌 c o r n이다. 실제 발신자는 불가리아 이메일 서비스인 ’mail.bg’인 것으로 확인됐는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 여러 차례 사용한 바 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격 배후로 탈륨을 꼽았다. 공격의 발신지와 명령제어(C2) 서버 주소, 위협 행위자가 사용한 과거 악성파일 코드 유사도 등을 종합 분석한 결과 해당 조직의 고유한 활동 공통점이 확인됐다는 설명이다.

문종현 ESRC 센터장은 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자를 지속해서 노리고 있다”며 “외교·안보·국방·통일 및 대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의해야 한다”고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널