'노태우-최태원' 네이버 뉴스로 위장한 해킹 공격 발견

이스트시큐리티, 공격 배후로 북한 '탈륨' 지목

컴퓨팅입력 :2021/10/28 08:45    수정: 2021/10/28 09:22

국내 보안 기업 이스트시큐리티(대표 정상원)는 28일 최근 있었던 시사 정치 뉴스처럼 가장해 본문의 URL 클릭을 유도하는 지능형지속위협(APT) 공격이 포착됐다고 밝혔다.

이스트시큐리티는 이번 공격의 배후로 미국 마이크로소프트(MS)사에서 명명한 북한 연계 해킹 그룹 일명 ‘탈륨’ 조직을 지목했다.

공격자는 북한 분야에서 활동하는 대북 전문가들을 주요 표적 삼아 이번 공격을 수행했다. 

이메일에 악성 파일을 첨부해 보내는 전형적인 스피어피싱 공격 기법과 다른 방식을 사용한 점이 눈에 띈다. 고(故) 노태우 씨의 법적 사위인 최태원 회장이 서울대 병원 장례식장에 위치한 빈소를 찾아 조문하고 미국 출장길에 오른다는 네이버 뉴스처럼 내용을 위장했다.

네이버 뉴스로 위장한 해킹 공격 이메일 화면(출처=이스트시큐리티)

이스트시큐리티 시큐리티대응센터(ESRC)의 확인 결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다.

공격에 사용된 이메일은 보낸 사람과 주소가 네이버 뉴스(news@navercorp.corn)로 돼 있다. 이메일을 자세히 살펴보면 com 도메인이 아닌, 'corn'으로 교묘히 발신지를 위장한 사실도 알 수 있다.

메일 실제 발신지는 불가리아 이메일 서비스인 'mail.bg'인 것으로 밝혀졌다. 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용해왔다는 설명이다. 

해킹 이메일 본문에는 뉴스 바로가기 링크가 2개 포함돼 있고, 두 링크 모두 해외 서버로 접속을 유도한다. 이때 해당 주소로 접근된 사용자의 IP 주소와 웹브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험이 존재한다. 이후에 피해자를 실제 뉴스 내용처럼 위장한 가짜 화면으로 이동시킨다.

가짜 네이버 뉴스를 보여주는 화면(출처=이스트시큐리티)

그 동안 북한 정찰총국과 연계된 것으로 널리 알려진 동일 위협 행위자들은 악성 매크로 명령을 삽입한 DOC, XLS 문서나 PDF 취약점 공격을 주로 사용해왔다. 이번 공격 방식은 외부에 위협 행위가 감지되는 것을 최소화하기 위한 전략 변화로 추정된다.

관련기사

ESRC에 따르면 이번 공격의 발신지와 명령제어(C2) 서버 주소, 과거 탈륨이 사용한 악성파일과의 코드 유사도 등을 종합적으로 분석한 결과 공통점이 확인됐다고 덧붙였다.

문종현 이스트시큐리티 ESRC센터장 이사는 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자들을 지속적으로 노리고 있다”며 “특히 외교, 안보, 국방, 통일 및 대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의하는 것이 안전하다”고 당부했다.