국내 북한인권 시민단체 관계자를 겨냥한 북한의 사이버 공격이 또 다시 포착됐다. 이번에는 시민단체들이 중요하게 생각하는 후원을 미끼로 공격을 시도해 관계자들의 주의가 요구된다.
데일리NK가 29일 이광백 국민통일방송 대표가 제공한 피싱 의심 메일을 전문가에게 의뢰해 분석한 결과, 북한 해킹 조직 ‘탈륨(Thallium)’의 소행으로 나타났다. 미국 마이크로소프트사(社)는 지난해 해킹조직 탈륨을 연방법원에 고소하면서 배후에 북한이 있다고 밝힌 바 있다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 이날 본지에 “해당 메일은 이메일 계정을 탈취하기 위한 피싱(Phishing)이다”며 “공격 방식이 기존 탈륨 조직과 거의 일치한다”고 말했다.
해커는 ‘후원 결정 통보서’라는 제목의 이메일을 이 대표에게 보냈다. 시민단체들이 후원에 관심이 많다는 사실을 염두에 두고 공격 대상자가 이메일을 열람하게 하려는 수법이다. 북한 해커들이 공격 대상자가 호기심을 갖고 미끼를 물도록 연구를 진행한 것으로 볼 수 있다.
문 이사는 “이메일 속 HWP 파일은 실제 첨부파일이 아닌 특정 서버에 연결된 URL 링크 주소이다”면서 “첨부 파일명을 클릭하면 국내 대형 포털사이트로 위장된 피싱 사이트로 접속된다”고 설명했다.
첨부파일처럼 위장했지만 실제로는 특정 서버와 연결된 조작된 화면이라는 이야기로 해커들이 공격 대상자를 속이기 위해 자주 사용하는 방식이다. 지난 17일 본지를 사칭해 피싱메일을 보낸 북한 해킹조직 금성121도 같은 수법을 사용했다.
문 이사는 “피싱 사이트에 접속하면 포털사이트의 로그인을 요구한다”면서 “이 때 정보를 입력하면 해커에게 계정 정보가 유출된다”고 주의를 당부했다.
이어 그는 “로그인 정보를 입력하면 첨부파일에 대한 바이러스 검사를 완료했다는 가짜 메시지를 보여준다”면서 “이후 해커는 정상 파일을 사용자에게 보내 정상 메일이었던 것처럼 속인다”고 덧붙였다.
공격 대상자가 해킹여부에 대해 인지하지 못하게 하려는 수법으로 추가 공격을 위한 해커의 전략 중 하나이다.
실제, 해커는 피싱사이트 접속여부를 확인하기 위한 비콘(Beacon) 태그를 이메일에 숨겨둬 향후 추가 공격이 가능한지 여부를 꼼꼼히 점검하고 있다. 여기서 비콘은 해커가 미리 설정한 도메인으로 접속 신호 로그를 전송하는 기능이다.
한편, 이번 피싱 공격에 사용된 HWP 파일은 국내 유명 대학의 대외협력팀의 실제 기부 레터로 나타났다. 다만, 문서의 출처가 해당 기관인지 3자의 이메일을 통해 확보된 것인지는 정확히 확인되지 않았다.