北추정 해킹조직, 삼성 클라우드 사칭해 이메일 피싱

[아시아경제 부애리 기자] 북한 해킹 그룹으로 추정되는 '탈륨'이 삼성 클라우드를 사칭해 대북 분야 종사자를 상대로 이메일 피싱 공격을 한 것으로 드러났다.

보안기업 이스트시큐리티는 25일 국내 대기업을 사칭해 대북 분야 종사자를 노린 이메일 피싱 공격을 발견했다고 밝혔다.

이번 공격은 '삼성 클라우드 서비스'에서 보낸 것처럼 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하는 수법을 썼다.

이메일 본문에는 삼성 클라우드 서비스의 갤러리 사용이 확인됐다는 안내 문구와 강조된 글씨체로 '자주 묻는 질문'을 보여준다.이 문구를 클릭하면 공격자가 사전에 설정해둔 악성 주소(URL)로 연결된다.

이스트시큐리티는 이번 공격에 쓰인 아이피(IP) 주소 대역이 해킹 그룹 '탈륨'의 활동 반경과 일치하는 것을 확인했다.

탈륨은 국내 방위업체를 포함해 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 집중적으로 공격하는 조직이다. 규모나 실체가 정확히 알려지진 않았으나 북한을 배후에 뒀다는 것이 업계의 시각이다.

이스트시큐리티 ESRC센터장 문종현 이사는 "특정 정부가 연계된 것으로 알려진 탈륨 조직이, 국내 대북 분야 활동가들을 상대로 거의 매일 사이버 첩보전을 수행하고 있을 정도로 위협이 고조되고 있다"면서 "탈륨 조직의 공격 수법이 갈수록 다양화 고도화되는 추세이기 때문에 각별한 주의가 요구된다"고 당부했다.

부애리 기자 aeri345@asiae.co.kr