노태우 전 대통령 조문 뉴스를 사칭한 피싱 이메일. 이스트시큐리티 제공보안 기업 이스트시큐리티는 28일 고 노태우 전 대통령 조문 뉴스를 가장한 이메일 피싱 시도가 있다며 주의를 당부했다.
이스트시큐리티는 이날 대표적 북한 연계 해킹 그룹으로 알려진 '탈륨'의 새로운 APT캠페인 해킹 공격이 포착됐다며 이렇게 밝혔다. 탈륨은 북한 정찰총국 연계 해킹 그룹으로, 미국 마이크로소프트가 이름 붙였다.
이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱(Spear Phishing) 공격 기법과 다르게, 최근 있었던 시사 정치 뉴스처럼 가장해 본문의 URL링크주소 클릭을 유도하는 수법이 쓰였다.
해커는 북한 관련 분야에서 활동하는 대북 전문가들을 주요 표적으로 삼아 공격을 시도했다. 노 전 대통령의 법적 사위인 SK그룹 최태원 회장이 서울대병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장길에 오른다는 네이버 뉴스처럼 위장한 것이다.
공격에 사용된 이메일은 보낸 사람과 주소가 "네이버 뉴스"로 조작됐지만, 실제 발신지는 불가리아 이메일 서비스인 "mail.bg"인 것으로 드러났다. 이는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 주소다. 이들은 발신자의 주소를 'com' 도메인이 아니라 'corn'으로 교묘히 위장하기도 했다.
노태우 전 대통령 조문 뉴스를 사칭한 피싱 이메일. 이스트시큐리티 제공해킹 이메일 본문에는 [뉴스 바로 가기] 링크가 2개 포함돼 있다. 이를 누르면 'nid.livelogin365.in[.]net'이라는 해외 서버로 접속이 유도된다. 사용자가 이 주소에 접근하면 IP 주소와 웹 브라우저 등 일부 정보가 노출될 가능성이 있으며, 해커 의도에 따라 추가 악성 파일이 설치될 위험성이 있다.
이후 'nnews.naver-con.cloudns[.]cl' 주소로 이동 시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여주게 된다.
탈륨은 그간 악성 매크로 명령을 삽입한 DOC, XLS 문서나 PDF 취약점 공격을 주로 사용했다. 하지만 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 여부를 체크하고 위협 행위가 감지되는 것을 최소화하기 위한 '정찰 단계'가 관측됐다.
이스트시큐리티 ESRC센터장 문종현 이사는 "사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자가 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법"이라고 밝혔다.
이어 "외교·안보·국방·통일 및 대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다"고 당부했다.