이스트시큐리티가 24일 대북 분야 종사자를 겨냥한 피싱 이메일을 발견했다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 국내 대기업 클라우드 서비스에서 공식 발송한 것처럼 정교하게 위장했다.
이메일 본문에는 클라우드 갤러리 서비스 사용이 확인됐다면서 자세한 문의는 '자주 묻는 질문'을 이용해달라고 썼다. 이 문구를 클릭하면 악성 인터넷주소(URL)로 연결된다.
이 같은 피싱은 인간 호기심과 심리를 자극하는 전형적 사회공학 기법이지만 그만큼 해킹 효과가 높아 여전히 폭넓게 쓰인다.
ESRC는 피싱에 사용된 명령제어(C2) 서버를 분석한 결과 일자리 소개, 근로자 파견 등을 수행하는 국내 아웃소싱 회사 서버가 악용된 사실을 확인했다.
공격자는 이 서버를 통해 피싱 링크를 클릭한 이용자 환경 정보를 수집한다. 이용자에게 나타나는 화면은 실제 클라우드 서비스 고객지원센터 페이지로 리디렉션해 위협을 인지하지 못하도록 만들었다.
공격자가 사용한 인터넷프로토콜(IP) 주소 대역은 해킹조직 '탈륨' 활동 반경과 일치했다. '탈륨'은 국내 방산업체를 비롯해 대북 분야 종사자와 탈북민, 취재기자를 집중 공격하는 해킹조직이다.
문종현 ESRC 센터장은 “'탈륨'이 국내 대북 분야 활동가를 상대로 거의 매일 사이버 첩보전을 수행한다고 해도 과언이 아닐 정도로 위협이 고조되는 상황”이라면서 “실제 발생하는 사이버공격 가운데 언론을 통해 외부로 알려지는 사례는 극소수에 불과하다”고 말했다.
ESRC는 이번 공격을 탐지·차단하고 피해를 예방하기 위해 백신 프로그램 '알약'을 업데이트하면서 관련 부처와 긴밀한 대응 공조 체제를 가동하고 있다.
오다인기자 ohdain@etnews.com
