[데이터넷] 26일 사망한 노태우 씨 빈소에 최태원 SK그룹 회장이 찾아 조문한 내용의 기사를 악용한 APT 공격이 발견됐다. 이스트시큐리티(대표 정상원)는 대북 전문가들에게 상기 내용의 포털 뉴스 기사를 위장한 공격을 발견했다고 28일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC) 조사 결과 해당 공격에 사용된 문구와 조작된 가짜 사이트 화면은 실제 모 언론사의 실제 뉴스 내용을 그대로 무단 인용한 것으로 확인됐다.

공격에 사용된 이메일은 보낸 사람과 주소가 ‘네이버 뉴스<news@navercorp.corn>‘로 조작됐고, 실제 발신지는 불가리아 이메일 서비스인 ‘mail.bg’인 것으로 밝혀졌는데, 해당 서비스는 북한과 연계된 사이버 위협 조직이 그동안 여러 차례 사용한 바 있다. 그리고 이메일을 자세히 살펴보면 com 도메인이 아니라 c o r n 알파벳으로 교묘히 발신지를 위장한 사실도 알 수 있다.

해킹 이메일 본문에는 [뉴스 바로 가기] 링크가 2개 포함돼 있고, 모두 ‘nid.livelogin365.in[.]net’이라는 해외 서버로 접속을 유도한다. 이때 해당 주소로 접근된 사용자의 IP주소 및 웹 브라우저 등 일부 정보가 노출될 가능성이 있고, 공격자의 의도에 따라 추가 악성 파일이 설치되는 위험성이 존재한다. 이후 ‘nnews.naver-con.cloudns[.]cl’ 주소로 이동시켜 실제 뉴스 내용처럼 위장한 가짜 화면을 보여준다.

이스트시큐리티 ESRC센터장인 문종현 이사는 “사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고, 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자들을 지속적으로 노리고 있다’며 “특히 외교·안보·국방·통일 및 대북 분야 전문가들은 평소 보지 못했던 발신자나 신뢰할 수 없는 사람이 보낸 이메일은 주의해야 한다”고 말했다.

김선애 기자 다른기사 보기