[아이뉴스24 김국배 기자] 북한 해킹 조직으로 추정되는 '탈륨'의 사이버 공격이 최근 급증하고 있는 것으로 나타났다.
탈륨은 마이크로소프트(MS)가 지난해 미국 정부부처 공무원 등을 공격했다는 혐의로 버지니아주 연방법원에 고소한 조직으로, 기존에 '김수키'라는 이름으로 알려진 북한 해킹 조직과 동일한 조직으로 추정된다.
5일 보안업체 이스트시큐리티에 따르면 탈륨이 국내 방위업체를 포함해 대북 연구 분야 종사자, 탈북민, 북한 관련 취재 기자를 집중 공격하고 있다.
가장 최근엔 '개성공단 근무 경험자' 연구 관련 문서 등을 사칭해 악성코드가 심어진 이메일을 유포했다. 관련 분야 연구원들이 표적이 됐을 가능성이 높다.
탈륨은 hwp, docx 문서 파일에 악성코드를 심어 이메일로 보내던 기존 수법과 달리 이번에는 exe 실행파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 썼다.
불과 얼마 전에는 대북 분야 종사자들에게 '삼성 클라우드 갤러리 사용 확인 안내'라는 피싱 메일을 보냈다. 이 메일 본문에는 "고객님의 삼성 클라우드 갤러리 서비스 사용이 2020-08-24에 확인되었습니다"라며 "궁금한 사항에 대한 문의는 고객지원 사이트의 '자주 묻는 질문' 또는 1:1 문의를 이용해주시기 바랍니다"라고 적혀 있다.
이 문구를 클릭하면 해커가 사전에 설정해 둔 악성 링크(URL)로 연결되고, 사용자 환경 정보가 새나간다. 정상적인 클라우드 서비스 고객지원 센터 페이지가 보이도록 해 이용자들이 피해를 인지하지 못하게 했다.
네이버를 사칭해 언론사 기자에게 피싱 메일 공격을 하기도 했다. 메일 계정 오류 관련 안내를 가장해 피싱 링크를 클릭하도록 유도했다.
업계에서는 "북한 해킹 조직이 거의 매일 사이버 첩보전을 수행하고 있다"는 분석이 나온다. 그만큼 사이버 위협이 크다는 의미다.
문종현 이스트시큐리티 이사는 "특정 정부가 연계된 지능형지속위협(APT) 조직들의 위협이 어느 때보다 고조되고 있다"며 "위협 인텔리전스 차원의 민관 협력과 투자가 중요한 시점"이라고 말했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기