[아이뉴스24 최은정 기자] 최근 외교·안보·국방·통일 분야 종사자를 겨냥한 안보 연구 관련 악성메일 공격이 발견됐다.
20일 이스트시큐리티(대표 정상원)에 따르면 최근 국내에서 외교·안보·국방·통일 분야에 종사하는 전문가·관계자를 대상으로 이메일 해킹 시도가 연이어 발생하고 있다.
이번 공격에서 해커는 '안보 연구 평가 설문'을 사칭해 이메일 공격을 감행했다. 특히 첫 메일 발송 시 위협 요소가 없는 설문지 안내 파일을 첨부해 수신자의 의심을 낮췄다는 설명이다. 이후 공격자는 사례금 지급을 미끼로 악성 문서를 열람하도록 유도하는 등 '지능적 투-트랙 스피어 피싱 전략'을 구사한 것으로 분석됐다.
![설문지 사칭 이메일 공격 [사진=이스트시큐리티]](https://img-lb.inews24.com/image_joy/202104/1618886700438_1_114530.jpg)
이스트시큐리티 시큐리티대응센터(ESRC)는 해당 공격 배후로 북한 정부와 연계된 것으로 알려진 해킹조직 '탈륨'과 '라자루스'를 지목했다. 해당 두 조직의 악성행위로 실제로 일부 방위산업, 군사 전문가들이 공격에 노출됐다고 덧붙였다.
회사 측은 "공격 방식은 주로 이메일에 악성 워드문서(.doc)를 첨부하는 전통적 방식이 성행하고 있지만, 수신자를 현혹하기 위한 위협 시나리오는 나날이 정교해지고 있다"고 말했다.
더불어 ESRC는 최근 포착된 여러 사례들을 분석한 결과, 탈륨 조직이 프로톤메일(ProtonMail) 서비스를 공격에 도입했다고 추정했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로, 보안 기능이 비교적 높은 것으로 알려져 있다. 랜섬웨어 제작자들은 이를 악용해 암호화폐 요구 혹은 협상 시 해당 서비스를 활용한다.
아울러 회사는 '참가신청서양식.doc', '생활비지급.doc' 등의 파일을 활용한 공격 사례도 포착했다고 밝혔다. 해당 공격들은 악성 매크로 기능을 실행하기 위해 사용자가 '콘텐츠 사용' 버튼을 누르도록 가짜 화면을 노출하고 있다. 초기 화면에는 '프로그람'이라는 단어가 발견되기도 했다. 프로그람은 프로그램(program)을 의미하는 북한식 영어 표기다.
문종현 이스트시큐리티 ESRC센터장(이사)은 "최근 악성 워드파일을 이용한 스피어 피싱 공격이 기승을 부리고 있고, 피해 대상자의 전문 분야에 따라 맞춤형 공격 시나리오를 구사하고 있다"며 "탈륨, 라자루스의 사이버 공격 수위가 함께 증대되고 있어 유사 위협에 노출되지 않도록 민·관의 각별한 주의와 관심이 요구된다"고 당부했다.
/최은정 기자(ejc@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기