[디지털데일리 김보민기자] 이란 스파이 그룹이 미국 대통령 선거 시기를 노려 사이버 위협을 고도화하고 있는 것으로 나타났다. 이들 조직은 유사 연구소 등으로 위장해, 개인과 기관 관계자에게 피싱 링크를 보내거나 다운로드가 필요한 파일을 전달한 것으로 확인됐다.

2일 구글 위협분석그룹(Threat Analysis Group·이하 TAG)이 공개한 보고서에 따르면, 이란 정예군 혁명수비대(IRGC)와 연계된 'APT42'는 미국 유력 인물을 겨냥해 피싱 활동을 펼치고 있다. 전·현직 정부 관리를 비롯해 정치 캠페인, 외교관, 싱크탱크 직원, 외교 정책 담당 비정부기구(NGO) 및 학술기관 등이 위협 대상이다.

TAG는 맞춤형 자격 증명 피싱 활동 등이 이어지고 있다며 이란의 정치적, 군사적 우선순위를 지지하기 위한 활동으로 해석된다고 밝혔다.

공격 방식은 교묘했다. APT42는 올 4월부터 이스라엘 외교관, 언론인, 미국 싱크탱크 연구원 등을 대상으로 한 여러 캠페인에서 '워싱턴 근동정책연구소(Washington Institute for Near East Policy)' 직원으로 위장했다. '언더스탠딩더워(understatingthewar)'라는 이름으로 도메인을 사용해 전쟁 연구소를 사칭했다.

조사에 따르면 APT42는 지난 5월과 6월 조 바이든 미국 대통령과 도널드 트럼프 전 대통령과 관련된 12명의 개인 이메일 계정을 표적으로 삼았다. 여기에는 미국 정부 현직 및 전직 공무원과 각 캠페인과 관련된 개인이 포함됐다. APT42는 이메일 제공업체 계정을 침해했는데, TAG 측은 이메일 본문에 피싱 링크를 보내거나 PDF 첨부파일 링크를 보내는 방식이 포착됐다고 설명했다.

화상회의 페이지로 위장해 연결되는 경우도 있었다. APT42는 여기에서 사용자가 로그인 정보를 입력하도록 했다. TAG에 따르면 구글미트(Google Meet), 원드라이브, 드롭박스, 스카이프 등 유명한 브랜드명으로 위장하는 경우도 있었다.

통상 선거 시기는 지정학적 이유로 다양한 보안 위협이 발생하는 때로 여겨진다. 2020년 미국 대선 당시에도 바이든과 트럼프 대선 캠페인과 관련된 계정을 표적으로 삼는 APT 공격 시도가 포착된 바 있다. 당시 TAG는 이란뿐만 아니라 중국 그룹이 캠페인 직원 개인 이메일을 공격하거나, 멀웨어를 다운로드하도록 유도하는 정황을 파악했다. 당시 공격 그룹은 합법적인 서비스를 활용해 호스팅 했기 때문에, 방어자 입장에서 네트워크 신호만으로 보안 위협을 감지하기 어려웠다.

TAG는 APT42가 이번 공격을 통해 개인 이메일 계정에 로그인하려는 시도를 차단했다고 밝혔다. 조사에 따르면 APT42는 최근 유명 정치 컨설턴트의 개인 지메일(Gmail) 계정 접근권을 획득했다. TAG는 "여전히 로그인을 시도하고 있지만, 성공하지 못한 것으로 확인된다"고 설명했다.