보안업체 이스트시큐리티는 지난 24일 특정 대북 분야 종사자를 상대로 정교한 이메일 피싱공격이 발생했다고 25일 밝혔다. /사진=이스트시큐리티
대북분야 종사자를 상대로 한 이메일 피싱공격이 발견됐다.

보안업체 이스트시큐리티는 지난 24일 특정 대북 분야 종사자를 상대로 정교한 이메일 피싱공격이 발생했다고 25일 밝혔다. 이스트시큐리티 대응센터(ESRC)에 따르면 이번 공격은 국내 대기업의 클라우드 서비스의 공식 이메일로 위장한 것이 특징이다.


이메일 본문에는 클라우드 서비스의 갤러리 사용이 확인됐다는 안내와 함께 ‘자주 묻는 질문’항목을 강조한다. 만약 이 문구를 클릭하면 공격자가 사전에 설정해둔 악성 사이트로 연결된다.

이 공격방식은 고전적인 수법이지만 사람의 호기심과 심리를 적절하게 활용하기 때문에 해킹성공률이 높다.


ESRC는 이번 공격을 분석한 결과 일자리소개, 근로자파견 등을 하는 국내 특정 아웃소싱 회사의 서버가 악용됐다고 밝혔다.

공격자는 해당 서버를 통해 수신자가 악성 주소로 접근하는지 확인하고 피싱 링크를 클릭할 경우 사용자 환경 정보를 수집한다. 이후 사용자에게 실제 클라우드 서비스의 정상 고객지원 센터 페이지로 연결해 시켜 악성 위협에 노출된 것을 인지하지 못하도록 만들었다.


ESRC는 이번 피싱의 배후로 탈륨 APT 그룹을 지목했다. 탈륨 그룹은 국내 방위업체를 포함해 대북 연구분야 종사자와 탈북민, 북한 관련 취재기자를 집중 공격하는 조직이다.

문종현 이스트시큐리티 ESRC센터장 이사는 “특정 정부가 연계된 것으로 알려진 탈륨 조직이 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다”며 “탈륨 조직의 APT 공격 수법이 갈수록 다양화 고도화되는 추세이기 때문에 각별한 주의가 요구된다”고 말했다.