언론사 기자 대상 피싱 공격 발견…계정 탈취 '주의'


탈륨 조직 소행 추정…이스트시큐리티

[아이뉴스24 최은정 기자] 이스트시큐리티는 특정 언론사 기자를 상대로 한 이메일 피싱 공격을 발견했다고 12일 발표했다.

공격자는 취재기자가 사용하는 언론사의 공식 이메일이 아닌, 무료로 가입해 사용하는 국내 유명 개인용 이메일 서비스를 표적으로 삼았다. 이메일 계정에 오류가 발생했다는 내용으로 본문 내 악성 인터넷주소를 클릭하도록 유도했다.

사용자가 이 주소를 클릭하면 해커가 정교하게 꾸민 웹페이지로 이동한다. 이 페이지는 해당 서비스 회사의 보안팀이 이메일 이용약관 동의와 본인 확인 요청을 위해 발송한 것처럼 구성돼 있다. 실제 서비스와 똑같이 표시되며 정상 서비스에서 제공 중인 일회용 번호와 QR코드 방식으로 로그인도 가능하다는 게 회사 측 설명이다.

실제 피싱 사이트에서 보여지는 QR코드 로그인 서비스 화면 [이미지=이스트시큐리티]

만약 이 사이트에 로그인 아이디와 암호를 정확히 입력할 경우 사용자 계정 정보가 탈취된다. 분석 결과, 이번 공격에 사용된 피싱 서버는 'never.com.ru'과 'naver.pm' 2개 도메인인 것으로 나타났다. 주의를 기울여 보지 않으면, 자칫 특정 포털 URL로 착각할 수 있다.

현재 이스트시큐리티는 자사 백신 프로그램(알약)에 관련된 악성 파일과 피싱 사이트를 탐지·차단할 수 있도록 긴급 업데이트를 완료한 상태다.

회사 측은 이번 공격의 배후를 조사하는 과정에서 naver[.]pm 서버가 지난달 말 '북한 핵 실험장 지역 인근 출신 탈북민 명단-1.hwp' 제목의 해킹 공격에 사용된 서버와 일치하는 것도 확인했다. 이들 공격은 모두 대북 또는 북한 관련 언론 분야 종사자가 주요 공격 대상이다. 해킹 공격 배후는 '탈륨' 조직으로 추정된다.

문종현 이스트시큐리티 ESRC센터장(이사)은 "탈륨은 지난해 말 마이크로소프트가 미국 버지니아주 연방법원에 고소장을 제출한 특정 정부 연계 해킹 그룹"이라며 "이 그룹은 한국에서 주로 정치·외교·안보·통일·국방 전·현직 관계자를 포함해 주요 정부 기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들을 공격 대상으로 삼고 있다"고 했다.

최은정기자 ejc@inews24.com





포토뉴스