보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

통일부 사칭 공격 지속하는 北 탈륨 조직, 이번에는 이메일 계정 탈취 시도

  |  입력 : 2021-02-24 15:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격 방식은 흔히 쓰이는 계정 탈취 목적 피싱... 교묘한 본문 내용과 발신지로 사용자 속여

[보안뉴스 이상우 기자] 이메일 발신지를 통일부인 것처럼 교묘하게 속여 이메일 계정 탈취를 시도하는 피싱이 발견됐다. 메일 본문에는 ‘월간 북한 동향’이라는 제목의 PDF 파일내용이 삽입돼 있으며, 하단에 있는 링크를 클릭할 경우 공격자가 꾸며놓은 피싱 사이트로 연결된다. 해당 피싱 사이트에서는 이메일 주소와 비밀번호 입력을 요구한다. 이번 공격 배후는 북한 해킹조직 ‘탈륨’으로 추정하고 있으며, 탈륨은 지난해 말부터 ‘월간 북한 동향’이라는 내용으로 통일부를 사칭해 지속적인 공격을 시도하고 있다.

[이미지=이스트시큐리티]

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 실제 공격에 사용된 악성 이메일의 발신지 주소에는 ‘통일부 ’ 주소가 포함돼, 이메일 수신자가 통일부에서 보낸 정상적인 이메일로 착각하고 열어볼 가능성이 매우 높다. 공격자는 이메일 발신지 주소를 조작하기 위해 별도의 이메일 서버를 구축한 것으로 보인다.

이메일 내용을 살펴보면 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입되어 있고, 하단에는 통일연구원(KINU) 문서가 첨부된 듯이 URL 링크가 삽입돼 클릭을 유도한다.

얼핏 보기에는 통일연구원의 ‘조선노동당 제8차 대회’ 분석 자료가 포함된 것처럼 보이지만, 실제 이 공격에는 PDF 파일이 아닌 악성 링크가 활용됐다. 이때 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 암호 입력을 요구하는 화면이 나타난다. 암호를 입력하게 되면 해당 정보가 공격자에게 유출돼 이메일 내용이 노출되는 것은 물론, 계정을 무단 도용해 주변 지인에게 후속 공격 메일까지 발송되는 등 자신의 업무용 계정이 악용될 수 있다.

또한, 암호가 탈취된 직후 최대한 해킹 피해 사실을 인지하지 못하도록 통일연구원에서 공식 배포한 문서를 보여주는 치밀함도 엿보인다. 다만, 통일연구원 공식 웹사이트에 등록된 실제 ‘현안분석-온라인 시리즈’의 제목은 ‘조선노동당 제8차 대회 분석(2): 경제 및 사회문화 분야’인 반면, 해킹 이메일 화면에는 ‘조선노동당’이 아닌 ‘조선로동당’으로 표기되었다는 점에서 차이가 있다.

ESRC는 새롭게 발견된 스피어 피싱 공격의 배후로 북한 당국과 공식 연계된 것으로 알려진 해킹 조직 ‘탈륨’을 지목했으며, 지난해 12월부터 통일부 ‘월간 북한 동향’ 자료를 사칭한 유사 공격 시도가 계속 이어지고 있다고 지적했다. 더불어 명령제어(C&C) 서버는 ‘naver.servehttp[.]com’, ‘attach.ddns[.]net’, ‘bigfile-naver.servepics[.]com’, ‘naver.serveblog[.]net’, ‘cafe-daum.ddns[.]net’ 등의 주소를 사용해 보안담당자의 눈을 속이고 있다.

탈륨은 한국과 미국 등지에서 활동하는 지능형지속위협(APT) 그룹 중 가장 활발한 사이버 첩보 활동을 전개하고 있는 조직으로, 최근 ‘북한 제8차 당대회’ 내용을 미끼로 다수의 공격을 수행하는 등 주로 정치·외교·안보·통일과 대북 분야 종사자를 대상으로 지속적인 위협을 전개하고 있다.

이스트시큐리티 ESRC센터장 문종현 이사는 “정부 주요 기관으로 사칭한 교묘하고 노골적인 사이버 위협이 국지적으로 활발하게 진행되고 있어 사이버 공간의 특성상 위협 식별이 쉽지 않아 각별한 주의와 대비가 필요하다”며, “코로나19 영향으로 기업과 기관의 재택근무 추세와 맞물려 사이버 위협 수위도 개인별로 높아졌기 때문에 보안 사각지대가 없도록 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때”라고 당부했다.

또한, “정교하고 지능적으로 조작된 발신지 사칭 공격 수법에 속아 최신 위협에 노출되지 않도록 최신 위협사례에 더 많은 관심과 대비가 필요하다”며, “공격자가 단순 개인이 아닌 북한 당국 차원에서 체계적으로 운용되고 있기 때문에 반드시 국가 사이버 안보 측면에서 유관기관이 함께 해결방안을 모색하고 접근해야 한다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북