탈륨 등 北연계 해커 배후세력 추정
국내 통일·외교·안보 전문가 표적
악성파일 첨부 메일로 해킹 시도
“전 방위적 감행, 각별한 주의 필요”
10일 국내 보안업체인 이스크시큐리티에 따르면 국내 통일·외교·안보 전문가로 활동하는 인물을 대상으로 한 사이버 공격이 최근 집중 포착됐다.
이스트시큐리티는 이날 블로그를 통해 “최근 국내 언론사, 민간 정책연구소, 전문학회 등을 사칭해 안보·통일·외교 정책 분야 전문가를 대상으로 전 방위적 해킹 시도가 지속적으로 수행되고 있다”며 “각별한 주의가 필요하다”고 밝혔다.
사이버 공격은 전문가들에게 논문이나 기고문 요청, 학술회의 세미나 참석 신청서, 사례비 지급 의뢰서, 개인정보 이용 동의서 등 악성파일을 첨부한 메일을 보내는 식이다.
북한 연계 해커그룹 탈륨이 국내 외교안보 분야 전문가에게 보낸 것으로 추정되는 악성코드가 담긴 문서 파일(사진=이스트시큐리티 블로그/뉴스1). |
한 원고의뢰서에는 국내 특정 매체 이름으로 ‘북핵 억제를 위해 바이든 행정부가 취할 수 있는 외교적 조치’, ‘한미연합훈련에 대한 바이든 행정부의 견해’ 등을 질의하는 내용이 담기기도 했다.
지난 8일 시작된 한미연합훈련에 대한 관심이 높아진 틈을 타 이른바 스피어 피싱을 감행하는 것으로 풀이된다.
이번 해킹의 배후로는 북한과 연계된 것으로 알려진 해커그룹 ‘탈륨’(Thallium)이 지목됐다. 탈륨은 지난 2019년 미국 마이크로소프트(MS)사로부터 고소당하면서 국제적 관심을 불러일으킨 해킹 조직이다.
탈륨은 국내 외교·통일·국방 등 분야의 전·현직 관계자를 대상으로 활발한 활동을 펼치고 있는 것으로 전해진다. 과거엔 관계기관·단체를 사칭하면서도 이메일 제목 등에 ‘조선로동당’과 같은 북한식 표기를 사용해 수신자가 쉽게 걸러낼 수 있었으나, 최근엔 ‘노동당’ 등 한국식 표기법을 쓰고 있는 것으로 알려져 “민·관 모두 각별한 주의와 관심이 요구된다”는 게 업계 전문가들의 설명이다.
업체는 “해킹 이메일에 속은 수신자가 회신할 경우 공격자(해커)는 나름 적극적으로 답변하는 등 신뢰 기반을 동원한 전술이 갈수록 과감하고 노골적인 양상으로 진화하고 있다”며 “얼마 전 통일부를 사칭한 피싱 공격도 이들(탈륨) 소행으로 확인됐다”고 부연했다.
한 보안업계 관계자도 “요즘 북한은 물리적인 무력 도발보다는 투입 비용 대비 효율적인 사이버 도발을 더 선호하는 것으로 보인다”고 말했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.