[아이뉴스24 최은정 기자] 이스트시큐리티는 지난 24일 특정 대북 분야 종사자를 상대로 한 이메일 피싱 공격을 발견했다며 25일 사용자 주의를 요구했다.
먼저 공격자는 국내 대기업에서 제공하는 클라우드 갤러리 서비스에서 공식적으로 발송한 것처럼 사칭한 이메일을 특정 대북 분야 종사자에게 발송했다.
이메일 본문에는 해당 특정 서비스의 갤러리 사용이 확인됐다는 문구와 함께 '자주 묻는 질문'을 포함했다. 만약 사용자가 이 문구를 클릭하면 공격자가 사전에 설정한 악성 URL로 연결된다.
이스트시큐리티 시큐리티대응센터(ESRC) 조사 결과, 해커는 일자리 소개, 근로자 파견 등을 진행하는 국내 특정 아웃소싱 회사의 서버를 명령제어(C2) 서버로 악용한 것으로 확인됐다.
공격자는 해당 서버를 통해 수신자가 악성 주소로 접근하는지 확인했다. 사용자가 피싱 링크를 클릭하면 사용자 환경 정보를 탈취한다. 이후 실제 클라우드 서비스의 정상적인 고객지원 센터 페이지로 연결·이동해 사용자가 악성 위협에 노출된 것을 인지하지 못하도록 만들었다.
또한 ESRC는 이번에 사용된 IP주소 대역을 '112.175.85.xxx', '121.78.88.xxx'으로 확인, 지능형지속위협(APT) 그룹 '탈륨' 활동 반경과 일치했다고 분석했다. 탈륨은 국내 방위 업체를 포함 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들도 집중 공격하고 있는 조직이라는 설명이다. 회사 측은 동일한 IP 주소를 사용한 추가 공격도 발견했다고 밝혔다.
이스트시큐리티 관계자는 "현재 백신 프로그램 알약에 탈륨 조직의 악성 파일과 피싱 사이트를 탐지 차단할 수 있도록 지속적인 업데이트를 진행하고 있다"고 말했다.
문종현 이스트시큐리티 ESRC센터장(이사)은 "실제 발생하는 사이버 공격 중 언론 등을 통해 외부로 알려지는 사례는 극소수에 불과하다"며 "탈륨 조직의 APT 공격 수법이 갈수록 다양화 고도화되는 추세기 때문에 보다 각별한 주의가 요구된다"고 당부했다.
최은정 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기