北 해킹 조직, 故 노태우 조문 뉴스로 이메일 피싱 시도
입력
수정
이스트시큐리티, 北 '탈륨' 소행 지목고(故) 노태우 전 대통령 관련 뉴스를 사칭한 ‘이메일 피싱’이 확산하고 있어 주의가 요구된다. 배후엔 북한 연계 해킹 조직이 관여한 것으로 추정된다.
보안기업 이스트시큐리티는 북한 연계 해킹 그룹으로 알려진 ‘탈륨’이 시사·정치 뉴스를 가장해 이메일 피싱 공격에 나섰다고 28일 밝혔다. ‘“중요한 미팅” 장인 노태우 조문하고 미국 가는 최태원’이라는 제목의 이메일을 송부해 해외 서버로 접속을 유도, 악성 파일을 설치하도록 치밀함을 보인 것이다.공격에 사용된 메일은 한 언론사의 실제 뉴스 내용을 무단 인용한 것으로 확인됐다. 보낸 사람 주소는 ‘news@navercorp.com’으로 조작됐고, 실제 발신지는 불가리아 한 이메일 서비스였던 것으로 밝혀졌다. 해킹 이메일 본분에는 ‘뉴스 바로 가기’ 링크 2개가 포함돼 있는데, 주소에 접속하는 순간 사용자 정보가 노출되거나 악성 코드가 설치될 가능성이 있다고 이스트시큐리티는 전했다.
해킹조직 탈륨의 소행으로 추정되는 공격은 기존과 다른 양상을 보인다. 앞서 탈륨은 악성 매크로 명령어를 삽입한 DOC, XLS 문서나 PDF 파일을 이용한 공격을 주로 사용했는데, 이번에는 메일 본문에 가짜 링크를 넣어 수신자의 경계심을 대폭 낮춘 것이 특징이다. 첨부파일 다운 등의 행위가 없어도 해킹을 당할 수 있도록 설계한 것이다.
문종현 이스트시큐리티 ESRC센터장은 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자에게 호기심을 유발하는 수법으로 대북 분야 관계자들을 지속 노리고 있다”며 “특히 외교·안보·국방 등 분야 전문가들은 평소 보지 못했던 발신자가 보낸 이메일을 항상 주의해야 한다”고 말했다.
이시은 기자