기사 본문 영역

상세페이지

기자 대상 ‘피싱’ 공격 확인…“北연계 추정 ‘탈륨’ 의심”
입력 2020.08.12 (11:23) 취재K
지난 11일 언론사 기자에게 발송된 실제 피싱 사이트 화면, 자료제공=이스트시큐리티

지난 11일 언론사 기자에게 발송된 실제 피싱 사이트 화면, 자료제공=이스트시큐리티

언론사 기자를 대상으로 한 이메일 피싱 공격이 발견됐습니다. 배후로는 북한 관련 주요 정부 부처 관계자와 교수진, 북한 전문 취재 기자들을 해킹 대상으로 삼고 있는 해커 조직이 지목됩니다.

통합보안기업 이스트시큐리티는 지난 11일 특정 언론사 기자를 대상으로 한 정교한 이메일 피싱 공격이 발견됐다고 밝혔습니다.

조사 결과 공격자는 취재 기자가 사용하는 언론사의 공식 이메일이 아닌, 무료로 가입해 사용하는 국내 포털사이트 개인 이메일을 주요 표적으로 삼았습니다.

공격자는 마치 이메일 계정에 오류가 발생한 것처럼 안내 메일을 보낸 뒤, 문제를 해결하기 위해 본문에 포함돼있는 인터넷 URL 주소를 클릭하도록 유도하는 피싱 수법을 활용했습니다.

피싱 사이트는 실제 해당 포털사이트 보안팀에서 활용하는 것과 똑같아 보이도록 만들어졌고, 일회용 번호 로그인, QR코드 로그인 등도 실제 서비스와 같은 방식으로 가능하도록 제작됐습니다.

메일 사용자가 만약 가짜 사이트에 로그인 아이디와 암호를 정확히 입력할 경우 계정 정보가 탈취되는 수법입니다.

발송된 URL을 클릭하면 접속되는 가짜 사이트는 실제 사이트와 상당히 유사하지만, 자세히 보면 주소가 naver.com이 아닌 never.com으로 다르다는 걸 알 수 있습니다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격에 사용된 피싱 서버를 분석한 결과, ▲'never.com[.]ru', ▲'naver[.]pm' 2개의 도메인이 사용된 것을 확인했다고 밝혔습니다.

ESRC는 이번 공격의 배후를 조사하는 과정에서 'naver[.]pm' 서버가 지난 7월 말 '북한 핵 실험장 지역 인근 출신 탈북민 명단-1.hwp' 제목의 해킹 공격에 사용된 서버와 일치하는 것을 확인했습니다.

또, 지난 5월에 있었던 악성 문서 파일('드론 현황 및 개선방안') 공격 등도 연계돼있다는 정황을 포착했습니다. 이들 공격은 모두 대북 또는 북한 관련 언론 분야 종사자가 주요 공격 대상이라는 공통점이 있습니다.

ESRC는 이 같은 공격의 배후로'탈륨(Thallium)'이라는 조직을 지목했습니다.

이스트시큐리티 ESRC센터장 문종현 이사는 "탈륨 조직은 2019년 말 마이크로소프트(MS)사가 미국 버지니아주 연방법원에 고소장을 제출한 특정 정부 연계 해킹 그룹"이라며, "이 그룹은 한국에서 주로 정치·외교·안보·통일·국방 전·현직 관계자를 포함해, 주요 정부 기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들을 공격 대상으로 삼고 있다"고 설명했습니다.

이어 "추가로 탈북민, 대북 연구 분야 및 북한 인권 단체 종사자 등도 주요 위협 대상자로 관찰되고 있다"며 각별한 주의를 당부했습니다.

이스트시큐리티 측은 피싱 사이트가 실제 사이트와 비슷하지만만 URL주소에 약간의 차이가 있다며 이같은 메일을 받으면 꼼꼼하게 확인하고, 발신자가 불명확한 첨부파일은 열지 않는 것이 중요하다고 밝혔습니다.

또 자사 백신 프로그램 알약(ALYac)에 관련된 악성 파일과 피싱 사이트를 탐지, 차단할 수 있도록 긴급 업데이트를 완료하고, 피해를 막기 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다고 전했습니다.

ESRC는 이번 공격의 상세한 침해 지표를 자사의 딥러닝 기반 악성코드 위협 대응 솔루션 쓰렛인사이드(Threat Inside)에 공개할 예정입니다.
  • 기자 대상 ‘피싱’ 공격 확인…“北연계 추정 ‘탈륨’ 의심”
    • 입력 2020-08-12 11:23:31
    취재K

지난 11일 언론사 기자에게 발송된 실제 피싱 사이트 화면, 자료제공=이스트시큐리티

언론사 기자를 대상으로 한 이메일 피싱 공격이 발견됐습니다. 배후로는 북한 관련 주요 정부 부처 관계자와 교수진, 북한 전문 취재 기자들을 해킹 대상으로 삼고 있는 해커 조직이 지목됩니다.

통합보안기업 이스트시큐리티는 지난 11일 특정 언론사 기자를 대상으로 한 정교한 이메일 피싱 공격이 발견됐다고 밝혔습니다.

조사 결과 공격자는 취재 기자가 사용하는 언론사의 공식 이메일이 아닌, 무료로 가입해 사용하는 국내 포털사이트 개인 이메일을 주요 표적으로 삼았습니다.

공격자는 마치 이메일 계정에 오류가 발생한 것처럼 안내 메일을 보낸 뒤, 문제를 해결하기 위해 본문에 포함돼있는 인터넷 URL 주소를 클릭하도록 유도하는 피싱 수법을 활용했습니다.

피싱 사이트는 실제 해당 포털사이트 보안팀에서 활용하는 것과 똑같아 보이도록 만들어졌고, 일회용 번호 로그인, QR코드 로그인 등도 실제 서비스와 같은 방식으로 가능하도록 제작됐습니다.

메일 사용자가 만약 가짜 사이트에 로그인 아이디와 암호를 정확히 입력할 경우 계정 정보가 탈취되는 수법입니다.

발송된 URL을 클릭하면 접속되는 가짜 사이트는 실제 사이트와 상당히 유사하지만, 자세히 보면 주소가 naver.com이 아닌 never.com으로 다르다는 걸 알 수 있습니다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격에 사용된 피싱 서버를 분석한 결과, ▲'never.com[.]ru', ▲'naver[.]pm' 2개의 도메인이 사용된 것을 확인했다고 밝혔습니다.

ESRC는 이번 공격의 배후를 조사하는 과정에서 'naver[.]pm' 서버가 지난 7월 말 '북한 핵 실험장 지역 인근 출신 탈북민 명단-1.hwp' 제목의 해킹 공격에 사용된 서버와 일치하는 것을 확인했습니다.

또, 지난 5월에 있었던 악성 문서 파일('드론 현황 및 개선방안') 공격 등도 연계돼있다는 정황을 포착했습니다. 이들 공격은 모두 대북 또는 북한 관련 언론 분야 종사자가 주요 공격 대상이라는 공통점이 있습니다.

ESRC는 이 같은 공격의 배후로'탈륨(Thallium)'이라는 조직을 지목했습니다.

이스트시큐리티 ESRC센터장 문종현 이사는 "탈륨 조직은 2019년 말 마이크로소프트(MS)사가 미국 버지니아주 연방법원에 고소장을 제출한 특정 정부 연계 해킹 그룹"이라며, "이 그룹은 한국에서 주로 정치·외교·안보·통일·국방 전·현직 관계자를 포함해, 주요 정부 기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들을 공격 대상으로 삼고 있다"고 설명했습니다.

이어 "추가로 탈북민, 대북 연구 분야 및 북한 인권 단체 종사자 등도 주요 위협 대상자로 관찰되고 있다"며 각별한 주의를 당부했습니다.

이스트시큐리티 측은 피싱 사이트가 실제 사이트와 비슷하지만만 URL주소에 약간의 차이가 있다며 이같은 메일을 받으면 꼼꼼하게 확인하고, 발신자가 불명확한 첨부파일은 열지 않는 것이 중요하다고 밝혔습니다.

또 자사 백신 프로그램 알약(ALYac)에 관련된 악성 파일과 피싱 사이트를 탐지, 차단할 수 있도록 긴급 업데이트를 완료하고, 피해를 막기 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다고 전했습니다.

ESRC는 이번 공격의 상세한 침해 지표를 자사의 딥러닝 기반 악성코드 위협 대응 솔루션 쓰렛인사이드(Threat Inside)에 공개할 예정입니다.
kbs가 손수 골랐습니다. 네이버에서도 보세요.
기자 정보