미국 연방수사국(FBI) 이메일 서버에 침투한 해커가 이를 악용해 스팸 메일을 발송한 것으로 나타났다.
미국 IT 매체 블리핑컴퓨터는 스팸 추적 비영리 단체인 스팸하우스가 FBI의 공식 메일 주소를 사용해 발송된 스팸 메일을 보고했다고 지난 13일 보도했다.
스팸 메일에서 해커는 다크웹 인텔리전스 회사 나이트라이온과 섀도우바이트의 보안 연구 책임자인 비니 트로이아를 사칭했다. 메일 수신자의 네트워크에서 위협이 탐지됐고, 기기에서 데이터가 탈취됐음을 알리면서 잘 알려진 위협 행위자의 '정교한 연쇄 공격"에 대해 주의하는 내용이 포함됐다.
해커는 이런 내용의 스팸 메일 최소 10만 건 이상을 두 차례에 걸쳐 발송했다. 이메일이 발송된 IP 주소도 FBI 소속이었다. 도메인네임시스템(DNS)에 등록된 공개키를 기반으로 발신자를 검증하는 이메일 보안 표준인 도메인키인증메일(DKIM) 상으로도 FBI가 메일을 발송하는 것처럼 나타나 수신자 입장에선 스팸으로 의심하기 쉽지 않다.
관련기사
- 그 많은 '보이스피싱' 전화번호는 어디서 올까2021.11.07
- "스팸·피싱 '수사'는 왜 미적대냐" 국감 질타2021.10.09
- 주식 투자자 노린 '스팸' 급증…100만건 돌파2021.07.27
- 스팸, 막 뿌리지 않는다…남자는 '주식' 언급 더 많아2021.06.24
FBI는 블리핑컴퓨터에 "FBI와 사이버보안 및 인프라 안보국(CISA)는 이번 사건을 인지하고 있다"며 "현재 진행 중인 건이라 추가 정보를 제공하긴 어려우며, 대중들이 알려지지 않은 발신자에 대해 주의하길 권장한다"고 입장을 밝혔다.
블리핑컴퓨터는 스팸 메일을 발송한 해커가, 메일에서 사칭한 비니 트로이아의 신뢰도를 떨어뜨리고자 하는 목적을 갖고 이번 공격을 수행한 것으로 추정했다. 트로이아는 과거 유사한 행보를 보였던 해킹 커뮤니티 '레이드포럼' 회원 '폼포무린'을 배후로 예상했다. 메일이 발송되기 몇 시간 전 어떤 사건이 발생할 것을 암시하는 연락을 받았다는 점도 이같은 예상의 근거로 댔다.
