통일부 ‘월간 북한 동향’ 이메일 사칭 화면/자료=이스트시큐리티

북한 해킹조직 소행으로 추정되는 악성 메일이 발견돼 주의가 요구된다. 공격자는 통일부에서 보낸 이메일처럼 보이도록 교묘하게 위장했다.

24일 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 이번 APT(지능형지속위협) 공격은 ‘탈륨(Thallium)’ 등으로 알려진 북한 연계 사이버 공격 조직의 소행으로 추정된다.


공격에 사용된 악성 이메일의 발신지 주소에는 통일부를 사칭한 계정이 포함됐다. 이메일 발신지 주소를 조작하기 위해 공격자가 별도 이메일 서버를 구축한 것으로 분석된다.

이메일 내용을 살펴보면 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입돼있다. 하단에는 통일연구원(KINU) 문서가 첨부된 것처럼 URL 링크가 삽입돼 클릭을 유도한다. 얼핏 보기에는 통일연구원의 ‘조선노동당 제8차 대회’ 분석 자료가 포함된 것처럼 보이지만 실제 이 공격에는 PDF 첨부 파일이 아닌 악성 링크가 활용됐다.


링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 암호 입력을 요구하는 화면이 나타난다. 암호를 입력하게 되면 해당 정보가 공격자에게 유출돼 이메일 내용이 노출되는 것은 물론, 계정이 무단 도용돼 주변 지인에게 후속 공격 메일까지 발송되는 등 가해자로 전락할 가능성도 있다.

공격자는 암호가 탈취된 직후 사용자가 해킹 피해 사실을 인지하지 못하도록 통일연구원에서 공식 배포한 문서를 보여준다. 하지만 통일연구원 공식 웹사이트에 등록된 실제 ‘현안분석-온라인 시리즈’의 제목은 ‘조선노동당 제8차 대회 분석(2): 경제 및 사회문화 분야’인 반면 해킹 이메일 화면에는 ‘조선노동당’이 아닌 ‘조선로동당’으로 표기됐다.


ESRC는 새롭게 발견된 스피어피싱 공격의 배후로 북한 당국과 공식 연계된 것으로 알려진 해킹 조직 ‘탈륨’을 지목했다. 아울러 지난해 12월부터 통일부 ‘월간 북한 동향’ 자료를 사칭한 유사 공격 시도가 계속 이어지고 있다고 지적했다. ‘탈륨’은 한국과 미국 등지에서 주로 정치·외교·안보·통일과 대북 분야 종사자를 대상으로 지속적인 공격을 가하고 있다.

문종현 이스트시큐리티 ESRC센터장(이사)은 “코로나19 영향으로 기업과 기관의 재택근무 추세와 맞물려 사이버 위협 수위도 개인별로 높아졌기 때문에 보안 사각지대가 없도록 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때”라며 “공격자가 단순 개인이 아닌 북한 당국 차원에서 체계적으로 운용되고 있기 때문에 반드시 국가 사이버 안보 측면에서 유관기관이 함께 해결 방안을 모색하고 접근해야 한다”고 말했다.