원자력연 공격한 北 해커, 통일부·통일연구원 사칭한 해킹 공격

통일부 사칭 이메일(왼쪽)과 통일연구원 사칭 이메일. 이스트시큐리티 제공

이스트시큐리티가 북한 해킹조직 '김수키'(또는 '탈륨') 소행으로 추정되는 지능형지속위협(APT) 공격을 잇달아 발견하고 이용자 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 통일부와 통일연구원을 사칭한 이메일 해킹 공격을 22일과 24일 각각 발견했다.

이번에 발견된 공격은 첨부 파일이 아닌 악성 인터넷주소(URL)를 삽입하는 수법을 썼다. ESRC는 포털 계정을 탈취하고 백신 등 보안 솔루션을 우회하기 위한 목적이라고 분석했다.

발신지 주소는 실제 통일부(unikorea)와 통일연구원(kinu) 공식 이메일 주소처럼 정교하게 조작했다. 이메일 본문에는 이들 기관이 공식 발행한 것처럼 교묘하게 도용한 화면을 활용했다. 본문 링크를 클릭하면 문서 대신 로그인 암호 입력을 요구하는 화면을 노출했다. 이때 입력하는 암호는 공격자에게 그대로 전송돼 이메일을 통해 주고받은 정보가 유출되는 것은 물론, 계정이 도용돼 2차 해킹이 발생할 우려가 있다.

ESRC가 이메일 발송지를 역추적한 결과 두 공격 사례 모두 특정 서버를 활용한 정황이 포착됐다. 이 서버는 오랜 기간 공격 거점으로 악용된 것으로 확인됐으며 지난 18일 발견된 국가안보전략연구원을 사칭한 공격과 21일 보고된 한국인터넷진흥원(KISA) 사칭 공격에서도 공격 거점으로 악용된 사실이 발견됐다.

ESRC는 분석 결과를 바탕으로 북한 해킹조직 '탈륨'을 공격 배후로 지목했다.

문종현 ESRC 센터장은 “탈륨은 최근 원자력 국책 연구기관을 포함해 국방 분야 무기체계를 연구하는 특정 방위산업체까지 전방위적인 사이버 공세를 이어가고 있다”면서 “보다 긴밀한 민관 협력과 대비가 필요하며 사이버 안보 강화 노력이 필요한 시점”이라고 말했다.

ESRC는 탈륨 관련 위협을 지속 추적하고 있다. 탈륨은 외교·안보·통일 분야 종사자와 취재기자를 주요 타깃으로 이 같은 공격을 수행하고 있다. 최근 기관과 회사 이메일보다 포털에서 제공하는 무료 이메일 계정을 쓰는 특징을 보인다.

오다인기자 ohdain@etnews.com