故 노태우 조문 뉴스 클릭 유도…악성 URL '주의보'


북한 연계 해커조직 배후 추정…이스트시큐리티

[아이뉴스24 최은정 기자] 이스트시큐리티(대표 정상원)는 북한 연계 해킹그룹으로 알려진 '탈륨'의 새로운 지능형지속위협(APT) 캠페인 공격이 포착됐다며 28일 사용자 주의를 당부했다.

가짜 네이버 뉴스를 보여주는 화면 [사진=이스트시큐리티]

이번 공격은 이메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱 공격 기법과 다르게, 시사 정치 뉴스로 가장해 악성 URL 링크를 클릭하도록 유도했다.

먼저 공격자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼았다. 마치 고(故) 노태우 전 대통령의 법적 사위인 최태원 회장이 빈소 조문을 마치고 미국 출장 길에 오른다는 포털 뉴스처럼 위장했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 무단으로 인용한 것이다.

공격에 악용된 이메일은 보낸사람과 주소가 '네이버 뉴스'로 조작됐는데, 실제 발신지는 불가리아 이메일 서비스인 'mail.bg'였다. 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용했다는 게 ESRC 측 분석이다.

해당 메일 본문에는 '뉴스 바로 가기' 링크가 2개 포함돼 있다. 이는 모두 'nid.livelogin365.in[.]net'이라는 해외 서버로 접속을 유도한다. 만약 사용자가 이를 클릭하면 사용자 IP주소와 웹 브라우저 등 일부 정보가 노출될 수 있고, 추가 악성 파일이 설치될 수 있다. 이후 공격자는 사용자에게 실제 뉴스 내용처럼 위장한 가짜 화면을 보여준다.

ESRC 측은 "그간 북한 정찰총국과 연계된 것으로 널리 알려진 동일 위협 행위자들은 악성 매크로 명령을 삽입한 워드, 엑셀 문서나 PDF 취약점(CVE-2020-9715) 공격을 주로 사용했가"면서 "이번에는 이메일 본문에 가짜 링크를 넣어 클릭 유무를 체크하고 외부에 위협 행위가 감지되는 것을 최소화하기 위한 정찰 단계가 관측했다"고 강조했다.

문종현 이스트시큐리티 ESRC센터장(이사)은 "사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법"이라며 "특히 외교·안보·국방·통일과 대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의해야 한다"고 말했다.

/최은정 기자(ejc@inews24.com)







포토뉴스