침해사고/위협동향

북한 배후 의심받는 '탈륨'·· 네이버 사칭 피싱 등 사이버 공격 확대

이종현
[디지털데일리 이종현기자] 북한 소행으로 추정되는 사이버공격이 늘고 있다는 의혹이 제기되고 있다. 코로나19 사태를 이용한 사회공학적 공격부터 특정 사이트를 위장한 피싱 공격 등이다.

관련업계에 따르면, 지난해 미국 정부부처 공무원과 싱크태크 등을 공격한 혐의로 마이크로소프트(MS)로부터 고소된 해킹조직 ‘탈륨’이 활발히 활동 중이다. 미국 정부로부터 지능형지속위협(APT) 공격 활성도가 높은 주요 위협 행위자(Threat Actor)로 등록돼 있는 조직이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 탈륨이 지난 2014년 한국수력원자원을 공격했던 ‘김수키’ 조직과 연관이 있거나 동일한 조직이라고 분석했다.

이스트시큐리티에 따르면, 이들은 공식 설문조사나 서류조사, 행사 초대 등을 빌미로 접근해 악성 메일을 발송하는 수법을 사용하고 있다. 지난 8월부터 현재까지 1개월 동안 ▲네이버 이메일 계정 오류 사칭해 언론사 기자 공격 ▲삼성 클라우드 사칭해 대북 분야 종사자 공격 ▲개성공단 관련 연구 내용 문서 사칭 공격 ▲아태지역 학술 논문 투고 규정 사칭 공격 등을 감행했다.

또 지난 11일에는 네이버의 고객센터를 사칭한 이메일 피싱 공격이 발견됐다. 네이버의 보안 서비스인 ‘새로운 기기 로그인 알림 기능’이 해제됐다는 내용으로 ‘새로운 기기 로그인 알림 설정 바로가기’ 버튼 클릮을 유도, 사용자 계정과 비밀번호를 탈취하는 방식이다.

이스트시큐리티 ESRC 센터장 문종현 이사는 “탈륨은 국내 포털 회사 고객세넡로 정교하게 위장한 이메일 피싱 공격을 매우 오래전부터 꾸준히 활용하고 있다”며 “최근에는 평일뿐만 아니라 공휴일이나 야간 시간에도 공격 메일을 발송하고 있어 주의가 필요하다”고 경고했다.

한편 증가하는 북한발 사이버공격 위협에 가장 적극적으로 대응하고 있는 것은 미국이다. 미국은 최근 대북 금융해킹 경보를 발령하는 등 보안 태세를 정비했다.

지난 2일(현지시각) 데이비드 스틸웰 미국 구무부 동아시아태평양 담당 차관보는 북한의 해킹 활동에 대한 명백한 증거가 있다고 밝혔다. 북한이 해킹으로 자금을 확보해 미사일을 조달한다는 것이다.

유럽연합(EU)은 북한 정부의 지원을 받는 해킹 기업 ‘조선 엑스포’에 제재를 가했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널