Home > 전체기사
해커조직 탈륨, 국내 대기업 클라우드 서비스 사칭 ‘대북 종사자’ 피싱 공격
  |  입력 : 2020-08-25 09:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 정부 연계 APT 해킹 그룹 ‘탈륨(Thallium)’ 대북 분야 관계자 대상 공격 이어져
국내 유명 클라우드 서비스 안내 메일로 위장해 악성 URL주소 클릭 여부 테스트
동일 APT공격 그룹, 지난 11일 언론사 기자 상대로 맞춤형 이메일 피싱 공격 수행


[보안뉴스 원병철 기자] 마이크로소프트가 북한의 해킹그룹으로 지목하고 고소한 해킹그룹 탈륨(Thallium)이 지난 8월 24일 특정 대북 분야 종사자를 상대로 한 정교한 이메일 피싱 공격을 자행했다. 특히, 이번 공격은 국내 대기업의 클라우드 서비스를 사칭해 사용자들의 주의가 요구된다.

▲8월 24일 대북 분야 종사자에게 수행된 피싱 공격 이메일 화면[자료제공=이스트시큐리티]


통합보안 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)에 따르면 이번 공격은 국내 대기업에서 제공하는 클라우드 갤러리 서비스에서 공식적으로 발송한 것으로 보이게끔 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하는 공격 수법을 사용했다.

이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인되었다는 안내와 함께, 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 ‘자주 묻는 질문’을 보여준다. 만약 이 문구를 클릭하게 된다면, 공격자가 사전에 설정해둔 악성 URL로 연결된다. 이 같은 피싱 공격은 전형적인 사회공학적 기법의 하나로 사람의 호기심과 심리를 적절히 활용해 파고드는 고전적인 사이버 위협 방식이지만, 그만큼 해킹 효과가 높아 지금도 여전히 널리 유행하고 있다.

ESRC는 이번 피싱 공격에 사용된 명령제어서버(C&C)를 조사한 결과, 일자리 소개, 근로자 파견 등을 하는 국내 특정 아웃소싱 회사의 서버가 악용된 것으로 확인했다. 공격자는 해당 서버를 통해 수신자가 악성 주소로 접근하는지 확인하고, 만약 피싱 링크를 클릭할 경우 클릭한 사용자 환경 정보를 수집한다. 이후 사용자에게 보이는 화면은 실제 클라우드 서비스의 정상적인 고객지원 센터 페이지로 리디렉션(redirection) 시켜 악성 위협에 노출된 것을 인지하지 못하도록 만들었다.

▲C2서버로 접근 시, 정상 클라우드 서비스로 연결시키는 소스 화면[자료=이스트시큐리티]


ESRC는 이번 피싱의 위협 배후를 조사하는 과정에서 ‘112.175.85.xxx‘, ‘121.78.88.xxx’ 아이피(IP) 주소 대역이 사용된 것을 확인했고, 이 주소 대역은 ‘탈륨(Thallium)’ APT 그룹의 활동 반경과 일치한다고 밝혔다. 또한, 이번 공격의 연장선에 있는 추가 공격도 발견됐으며, 이 역시 동일한 아이피 주소가 사용된 것으로 나타났다. ‘탈륨’ 그룹은 국내 방위업체를 포함, 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하고 있는 조직이다.

이스트시큐리티 ESRC센터장 문종현 이사는 “특정 정부가 연계된 것으로 알려진 탈륨 조직이 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”고 설명했다. 이어 “실제 발생하는 사이버 공격 중 언론 등을 통해 외부로 알려지는 사례는 극소수에 불과하고, 대다수는 외부에 알려지지 않거나 대수롭지 않게 여기는 경우가 비일비재하다”며, “탈륨 조직의 APT 공격 수법이 갈수록 다양화 고도화되는 추세이기 때문에, 보다 각별한 주의가 요구된다”고 당부했다.

현재 이스트시큐리티는 자사 백신 프로그램 알약(ALYac)에 탈륨 조직의 악성 파일과 피싱 사이트를 탐지·차단할 수 있도록 지속적인 업데이트를 진행하고 있다. 이와 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상