카스퍼스키(한국지사장 이효은)는 자사 GReAT(글로벌 연구 분석팀)이 가짜 표절 보고서를 미끼로 러시아 주요 대학 및 연구기관에 소속된 정치학자와 기타 연구자를 대상으로 한 표적형 피싱 공격인 ‘ForumTroll’ APT(지능형 지속 공격)를 탐지했다고 7일 밝혔다.
이번에 발견된 캠페인은 기존의 조직 중심 공격에서 벗어나, 러시아 주요 학술 및 연구기관에 소속된 정치학자, 국제관계 전문가, 경제학자 등 개인 연구자를 직접 표적으로 삼는 방향으로 초점이 이동한 것이 특징이다. 이탈리아 스파이웨어 업체가 과거 해킹팀의 후속 조직인 Memento Labs와 연관된 것으로 분석된다.
공격 경위는 이렇다. 2025년 10월에 공격자들은 'support@e-library.wiki' 주소를 발신자로 사용하는 피싱 이메일을 유포했다. 이 주소는 러시아의 공식 학술 포털인 elibrary.ru를 모방해 제작된 가짜 웹사이트였다. 이메일에는 수신자가 링크를 클릭해 표절 검사 보고서를 다운로드하도록 유도하는 내용이 포함돼 있었다. 해당 링크를 통해 전달된 파일은 공격 대상 학자의 이름을 파일명으로 사용한 ZIP 압축 파일이었다. 내부에는 악성코드 설치를 목적으로 한 바로가기 파일과 함께, 아카이브를 무해하게 보이기 위한 일반 이미지 파일 폴더가 포함돼 있었다.
사용자가 해당 바로가기 파일을 실행하면, 공격자의 서버와 통신하는 코드가 은밀히 실행되고, 악성코드가 다운로드돼 피해자의 컴퓨터에 설치되는 식이다. 이 악성코드는 재부팅 이후에도 지속 실행되도록 구성됐다. 동시에 흐릿하게 처리된 PDF 파일이 열리는데, 이는 표절 검사 보고서처럼 보이도록 설계돼 공격을 일상적인 학술 절차로 인식하게 만들어 의심을 최소화했다.
최종적으로 설치되는 악성코드는 ‘Tuoni’로, 보안 테스트에 자주 사용되는 상용 해킹 도구다. ForumTroll의 손에 들어간 Tuoni는 공격자에게 피해자 디바이스에 대한 원격 접근 권한을 제공하며, 네트워크 내부에서 추가적인 악성 행위를 수행할 수 있게 한다.
카스퍼스키는 이처럼 공격자들이 온라인 인프라를 매우 치밀하게 구성한 점을 확인했다. 이들은 패스트리의 클라우드 네트워크에 명령·제어 서버를 호스팅했으며, 방문자의 운영체제에 따라 서로 다른 메시지를 표시하고 반복 다운로드를 제한해 분석을 어렵게 했다.
뿐만 아니라 가짜 e-library.wiki 웹사이트는 실제 eLibrary 홈페이지를 그대로 복제한 형태였으며, 2024년 12월로 거슬러 올라가는 작업 흔적이 발견돼 수개월에 걸친 사전 준비가 있었던 것으로 조사됐다.
관련기사
- 이런 사람 '몸캠피싱' 당하기 딱 좋다2025.12.19
- 카스퍼스키 "사이버범죄자들 텔레그램서 다른 플랫폼으로 이동"2025.12.25
- 카스퍼스키 "하루 평균 악성파일 50만개 발견"2025.12.31
- 카스퍼스키, ISO/IEC 27001 재인증 획득2025.12.16
카스퍼스키 게오르기 쿠체린 GReAT 선임 보안 연구원은 “연구자들은 특히 공개된 연락처 정보가 포함된 학술 프로필을 보유한 경우, 고도화된 위협 행위자들의 주요 표적이 된다. 표절 주장과 같이 불안감을 유발하는 피싱 이메일은 신속한 클릭을 유도하는 데 특히 효과적일 수 있다. 개인 기기에 보안 소프트웨어를 유지하고 원치 않는 첨부 파일을 주의 깊게 다루는 것은 이러한 공격에 대한 노출을 줄이는 데 중요한 조치다”라고 말했다.
카스퍼스키 이효은 한국지사장은 “디지털 시대에 접어들며 학계 역시 새로운 사이버 공격의 표적이 되고 있다. ForumTroll과 같은 APT 조직의 활동은 매우 우려스러운 수준이며, 한국의 학술 커뮤니티 또한 높은 경각심을 유지해야 한다. 카스퍼스키는 지속적인 연구개발 투자와 첨단 기술, 전문 인력을 바탕으로 한국 사용자들이 다양한 사이버 위협에 효과적으로 대응하고 학술 연구 환경의 보안을 지킬 수 있도록 적극 지원할 것이다”라고 말했다.
