보안 기업 이스트시큐리티가 고(故) 노태우 전 대통령 조문 뉴스를 가장한 이메일을 이용한 해킹 시도가 있었다며 주의를 당부했다. 이스트시큐리티는 28일 최근 시사·정치뉴스처럼 가장해 본문의 URL 클릭을 유도하는 지능형지속위협(APT) 유형의 공격이 포착됐다고 밝혔다. 이스트시큐리티는 이번 공격의 배후로 미국 마이크로소프트(MS)사에서 명명한 북한 연계 해킹 그룹 ‘탈륨’ 조직을 지목했다.
대북 전문가들이 이번 공격의 주요 표적 대상이 된 것으로 확인된다. 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 서울대병원 장례식장 빈소를 찾아 조문하고 미국 출장길에 오른다는 내용의 네이버 뉴스처럼 위장해 메일 수신자의 경계심을 낮추는 수법이었다.
이번 공격에 사용된 문구와 조작된 사이트 화면은 실제 모 언론사의 뉴스 내용을 무단 인용한 것으로 확인됐다. 이메일의 보낸 사람과 주소가 “네이버 뉴스
해킹 이메일 본문에는 뉴스 바로가기 링크가 2개 포함돼 있었다. 2개 모두 해외 서버로 연결되는 링크다. 이때 해당 주소로 접근된 사용자의 IP 주소와 웹브라우저 등 일부 정보가 노출될 수도 있고, 추가 악성 파일이 설치될 위험도 있다. 이후 실제 뉴스 내용처럼 위장한 가짜 화면을 보여준다.
이스트시큐리티는 발신지와 명령제어(C2) 서버 주소, 과거 탈륨이 사용한 악성파일과의 코드 유사도 등 이전 공격과의 공통점이 확인됐다고 분석했다. 북한 정찰총국과 연계된 것으로 널리 알려진 탈륨은 악성 매크로(Macro) 명령을 삽입한 DOC, XLS 문서나 PDF 취약점(CVE-2020-9715) 공격을 주로 사용했다. 이스트시큐리티는 이메일 본문에 가짜 링크를 넣어 클릭 여부를 체크하고 외부에 위협 행위가 감지되는 것을 최소화하기 위한 정찰 단계가 도입된 것으로 파악했다.
이스트시큐리티는 이번에 발견된 악성 피싱 주소의 긴급 업데이트를 완료했으며 피해 확산 방지를 위해 관련 부처와 긴밀하게 협력해 대응할 계획이라고 설명했다.
천현정 인턴기자