올해 초 부터 남북관계·북미관계 관련 내용 위장한 스피어피싱 진행
청와대 국가안보실 등을 사칭한 정교한 스피어피싱 메일이 국가 안보, 외교 분야 전문가들에게 광범위하게 유포되고 있어 경찰이 수사에 나선 가운데, 이 공격이 오랫동안 우리나라 국방·안보·외교·통일 분야 전문가 및 관련 기관을 대상으로 진행된 표적 공격과 연관성이 높다는 주장이 나오고 있다.
올해 초 평창올림픽 이후 남북 관계가 개선되면서 이와 관련된 내용을 사칭한 스피어피싱 메일이 지속적으로 발견돼왔으며, 이 공격에는 한국수력원자력 공격 그룹으로 의심되는 ‘킴수키’ 계열의 공격과 유사성이 발견됐다. 보안 전문가들은 이 공격그룹 외에 금성121, 레드아이, 스카크러프트, 그룹 123, APT 37 등으로 불리는 정부 후원 공격 그룹도 활동하고 있는 것으로 분석하고 있다.
이번 공격과 유사한 것은 지난 5월 발견된 북미 정상회담 관련 내용 사칭 메일이 최초인 것으로 분석된다. 이스트시큐리티 시큐리티대응센터(ESRC)가 당시 발견된 악성문서는 ‘제2강 가야할 길 : 통일을 지향하는 평화체제 구축’, ‘북한의 핵개발과 전쟁위기 고조’, ‘역사적인 판문점 남북정상회담(4.27)’ 등의 제목으로 작성됐다. ESRC는 이 공격이 킴수키, 금성121 등과 연결되는 단서가 발견된다고 분석한 바 있다.
이러한 공격과 유사성이 발견되는 공격 캠페인은 미국 IP를 사용하고 한국 사이트를 C&C로 사용하는 것도 다수 발견된다. 또한 이 공격 그룹은 암호화폐 해킹과 채굴 공격으로 금전적 수익을 얻는 것으로도 알려지고 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
