북한 해킹 조직으로 추정되는 ‘탈륨(Thallium)’이 삼성전자를 사칭해 대북(對北) 분야 종사자들에게 이메일 피싱 공격을 한 것으로 드러났다.
25일 보안업체 이스트시큐리티 시큐리티대응센터(ESRC센터)에 따르면 탈륨은 삼성전자가 제공하는 ‘클라우드 갤러리’ 관련 안내 메일을 가장해 악성코드가 심겨진 이메일을 국내 방위업체, 대북 연구 분야 종사자, 탈북민 등 특정 대북 분야 종사자에게 보냈다. 문종현 ESRC센터장(이사)은 “탈륨 조직의 (해킹) 공격 수법이 갈수록 다양화·고도화되는 추세이기 때문에 보다 각별한 주의가 요구된다”고 했다.
◇삼성전자 사칭해 이메일 피싱
탈륨은 대북 분야 종사자들에게 ‘삼성 클라우드 갤러리 사용 확인 안내’라는 피싱 메일을 보냈다. 이 메일에는 “고객님의 삼성 클라우드 갤러리 서비스 사용이 2020-08-24에 확인 되었습니다”라며 “궁금한 사항에 대한 자세한 문의는 고객지원 사이트의 ‘자주 묻는 질문’ 또는 1:1 문의를 이용해주시기 바랍니다”라는 글이 써 있다.
이 메일 중 ‘자주 묻는 질문’이라는 문구는 수신자의 궁금증을 유발할 수 있도록 파란색 글씨체로 표시돼 있다. 만약 이 문구를 클릭하면 해커가 사전에 설정해 둔 악성 외부 링크로 연결되는 방식이다. 피싱 링크로 연결되면 클릭한 사용자의 정보가 빠져나간다.
ESRC에 따르면, 이번 해킹에는 일자리 소개와 근로자 파견 업무를 하는 국내 특정 아웃소싱 회사의 서버가 악용됐다. 해커는 피싱 링크를 클릭한 피해자에게는 정상적인 클라우드 서비스 고객지원 센터 페이지가 보이도록 재연결(리디렉션) 시켜, 피해자들이 피싱을 당한 것을 인지하지 못하도록 했다.
ESRC는 “이 같은 피싱 공격은 사람의 호기심과 심리를 적절히 활용해 파고드는 고전적인 사이버 위협 방식”이라며 “그만큼 해킹 효과가 높아 지금도 여전히 널리 유행하고 있다”고 했다.
◇MS도 고소한 해커 조직 탈륨
ESRC는 이번 피싱을 조사하는 과정에서 특정 IP 주소 대역을 확인했고, ‘탈륨’ 지능형지속위협(APT) 그룹의 활동 반경과 일치한다고 밝혔다. 이번 공격의 연장선에 있는 추가 공격도 발견했다.
탈륨은 국내 방위 업체를 포함해, 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중 공격하는 해킹 조직이다. 탈륨은 2010년 활동을 시작한 해킹 그룹으로 정확한 규모나 실체 등은 알려지지 않았다. 하지만 북한을 배후에 뒀다는 것이 보안 업계의 공통된 분석이다.
작년 12월 미국의 마이크로소프트(MS)는 버지니아주 연방법원에 탈륨 조직을 고소하기도 했다. 탈륨이 미국 정부부처 공무원과 싱크탱크 연구원, 대학 교직원, 인권 단체와 회원 등을 공격했다는 것이다. 당시 MS는 “탈륨은 피해자의 온라인 계정을 손상시키고 컴퓨터와 네트워크를 침해해 민감한 정보를 훔쳤다. 대부분 미국과 일본, 한국이 목표 대상이었다”고 했다.
◇급증하는 북한의 사이버 공격
현재 한국에서는 이와 유사한 형태의 사이버공격이 꾸준히 이어지고 있다. 탈륨 등 북한을 배후에 둔 것으로 알려진 해킹 조직은 한국 내 주요 기관이나 학회 관계자 등으로 위장해 피싱 공격을 하는 것으로 알려졌다.
특히 정치·외교·안보·통일·국방 분야 전·현직 관계자를 포함해 교수와 북한 취재기자 등을 대상으로 광범위하게 공격을 반복적으로 시도하고 있다.
문종현 센터장은 “실제 발생하는 사이버 공격 중 외부로 알려지는 사례는 극소수에 불과하고, 대다수는 외부에 알려지지 않거나 대수롭지 않게 여기는 경우가 비일비재하다”며 “탈륨 조직이 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있다 해도 전혀 과언이 아닐 정도로 위협이 고조되고 있다”고 말했다.