[디지털데일리 이종현기자] 북한 해커 그룹으로 알려진 ‘탈륨’이 삼성 클라우드를 사칭해 대북 분야 종사자를 대상으로 한 이메일 피싱 공격을 진행한 것으로 알려져 관계자의 주의가 필요하다.

25일 이스트시큐리티는 지난 24일 특정 대북 분야 종사자를 대상으로 한 정교한 이메일 피싱 공격이 발견됐다고 밝혔다. 공격자는 삼성 클라우드 갤러리 서비스에서 공식적으로 발송한 것처럼 보이게끔 꾸며진 악성 이메일을 발송하는 수법을 사용했다.

이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인됐다는 안내와 함께 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 ‘자주 묻는 질문’을 보여준다. 해당 문구를 크릭하면 공격자가 사전에 설정해둔 악성 인터넷주소(URL)로 연결되는 방식이다.

이와 같은 피싱 공격은 전형적인 사회공학적 기법의 하나다. 사람의 호기심과 심리를 파고드는 고전적인 사이버 위협 방식이지만 그만큼 효과가 높다. 세계를 떠들썩하게 한 트위터의 해킹도 이와 같은 사회공학적 공격 기법에 의해 이뤄진 것으로 알려졌다.

이스트시큐리티 시큐리티대응센터(ESRC)는 피싱 공격에 사용된 명령제어서버(C2)를 조사한 결과 일자리 소개, 근로자 파견 등을 하는 국내 특정 아웃소싱 회사의 서버가 악용됐다는 것을 확인했다.

공격자는 해당 서버를 통해 수신자가 악성 주소로 접속하는지 확인하고 피싱 링크를 클릭할 경우 클릭한 사용자 환경 정보를 수집한다. 이후 사용자에게 보여지는 화면은 실제 클라우드 서비스의 정상적인 고객지원 센터 페이지로 리디렉션시켜 악성 위협에 노출된 것을 인지하지 못하도록 만들었다.

이스트시큐리티는 이번 피싱 위협 배후를 조사하는 과정에서 아이피(IP) 주소 대역이 지능형지속위협(APT)을 감행하는 북한 해커 그룹 탈륨의 활동 반경과 일치하는 것을 확인했다. 이번 공격의 연장선에 있는 추가 공격도 발견됐으며 이 역시 동일한 아이피 주소가 사용됐다.

탈륨은 국내 방위 업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있는 조직이다.

문종현 이스트시큐리티 ESRC 센터장은 “탈륨이 국내 대북 분야 활동가를 상대로 매일 사이버 첩보전을 수행하고 있다고 해도 과언이 아닐 만큼 위협이 고조되고 있다”고 말했다.

이어서 그는 “실제 발생하는 사이버 공격 중 언론 등을 통해 외부로 알려지는 사례는 극소수”라며 “탈륨 조직의 APT 공격 수법이 갈수록 다양화·고도화되는 추세이기 때문에 각별한 주의가 요구된다”고 당부했다.

<이종현 기자>bell@ddaily.co.kr