[아이뉴스24 최은정 기자] 최근 북한 해커 조직으로 추정되는 '탈륨'이 국내 포털사, 블록체인 지갑 서비스 등을 사칭해 악성코드를 유포하는 등 활개를 치고 있다.
최근에는 대북 단체·관계자·언론사 등을 대상으로 하는 악성 문서 파일도 수시로 유포하는 상황이다.
16일 업계에 따르면 최근 현대페이가 개발한 블록체인 하드웨어 지갑 '카세(KASSE)' 웹사이트에 카세 서비스를 사칭해 악성 메일을 유의하라는 긴급 공지글이 올라왔다.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/202010/1568599355308_1_145109.jpg)
해당 공지글에는 "최근 help@hdactech.info 주소로 발송된 이메일은 당사 또는 현대페이에서 발송한 메일이 아니다"며 "도메인이 '.info'로 온 메일에 포함된 링크는 절대 클릭하지 마라"고 적혀있다. 또 이미 파일을 다운로드한 경우 삭제할 것을 요청했다.
이어 "당사에서는 사용자에게 복구단어(니모닉)을 어떠한 방법으로도 요구하지 않는다"며 "복구단어(니모닉)를 초기에 입력하면, 지갑의 코인이 모두 탈취되니 절대 입력하지 마라"고 적혀있다. 니모닉은 암호화폐 지갑을 복구하기 위한 12개 또는 24개 단어다.
앞서 지난 8월 에이치닥(HDAC) 블록체인 모바일 지갑 애플리케이션에서 암호화폐가 무단으로 빠져나가는 피해 사례가 발생했다. 당시 회사 측이 배포하지 않은 버전의 앱이 구글 플레이스토어에 올라왔다고 밝혔다. 뒤이은 18일 침해사고 신고를 접수한 한국인터넷진흥원(KISA)은 현재 조사를 진행 중이다.
국내 보안업체 이스트시큐리티는 이번 카세 서비스 사칭 공격이 에이치닥 사건과 연관이 있을 것으로 추정하고 있다. 배후로는 탈륨 조직을 지목하고 있다.
문종현 이스트시큐리티 이사는 "조사가 진행 중이라 단언하긴 이르다"면서도 "두 사건에서 공격에 사용된 명령제어(C2) 서버가 같은 해외 호스팅 업체에 등록돼 있고, 도메인 이름도 유사성이 높다"고 말했다.
탈륨은 지난해 말 미국 마이크로소프트(MS)가 버지니아주 연방법원에 고소해 국제 사회의 주목을 받은 조직이다. 지난 2014년 한국수력원자력 해킹 공격 배후로 알려진 '김수키' 조직과 관련된 것으로 업계는 보고 있다.
탈륨은 지난달에도 국내 포털 네이버 고객센터로 위장한 피싱 이메일 공격을 감행했다. '새로운 기기 로그인 알림 기능'이 해제돼 이를 다시 설정해야 한다는 안내와 함께 '새로운 기기 로그인 알림 설정 바로가기' 버튼이 포함된 메일을 보냈다. 이 버튼을 누르면 비밀번호를 재입력하라는 창이 뜨고, 번호를 입력하는 순간 해당 정보는 해커에게 넘어간다.
최근에는 북한 분야를 취재하는 기자, 공무원, 탈북 단체장과 같은 대북 분야 종사자를 주요 공격 대상으로 삼는 사례도 나오고 있다는 게 이스트시큐리티의 설명이다.
실제로 탈륨은 지난달 16일, 29일, 이달 6일에 각각 '서면인터뷰 질의내용', '북한인권백서-2020', '학술회의 개최' 악성 워드문서(.doc)를 유포했다. 한글문서(.hwp) 취약점보다는 워드문서 악성 매크로를 이용한 공격이 주를 이루고 있다는 분석이다.
이스트시큐리티 관계자는 "악성메일에서 한국 정부부처 사무관 이름을 사칭하는 등 과감한 행보를 보이고 있다"며 "탈륨 조직의 사이버 위협 활동이 지속되고 있다는 점에 주목해 이들의 공격을 예방하고 피해를 최소화하는데 노력이 필요한 시기"라고 말했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기