북한 해킹 조직으로 추정되는 '탈륨(Thallium)'이 삼성전자를 사칭해 대북(對北) 분야 종사자들에게 이메일 피싱 공격을 하고 있는 것으로 나타났다.
25일 보안업체 이스트시큐리티 시큐리티대응센터(ESRC센터)에 따르면, 탈륨은 삼성전자가 제공하는 '클라우드 갤러리' 관련 안내 메일을 가장해 악성코드가 심어진 이메일을 국내 방위업체, 대북 연구 분야 종사자, 탈북민 등에게 보냈다. 2010년 활동을 시작한 탈륨은 국내 방위 업체를 포함해, 대북 연구 분야 종사자와 탈북민, 북한 관련 취재기자를 집중적으로 공격하는 해킹 조직이다. 정확한 규모나 실체 등은 알려지지 않았지만, 북한을 배후에 뒀다는 것이 보안 업계의 공통된 분석이다.
이스트시큐리티에 따르면 탈륨은 대북 분야 종사자들에게 '삼성 클라우드 갤러리 사용 확인 안내'라는 피싱 메일을 보냈다. 이 메일에는 "고객님의 삼성 클라우드 갤러리 서비스 사용이 2020-08-24에 확인되었습니다"라며 "궁금한 사항에 대한 문의는 고객지원 사이트의 '자주 묻는 질문' 또는 1:1 문의를 이용해주시기 바랍니다"라는 글이 쓰여 있다. 이 문구를 클릭하면 해커가 사전에 설정해 둔 악성 외부 링크로 연결된다. 피싱 링크로 연결되면 클릭한 사용자의 정보가 빠져나간다. 이들은 정상적인 클라우드 서비스 고객지원 센터 페이지가 보이도록 재연결해 피해자들이 피싱을 당한 것을 인지하지 못하도록 했다.
작년 12월 미국의 마이크로소프트(MS)도 버지니아주 연방법원에 탈륨을 고소했다. 탈륨이 미국 정부 부처 공무원과 싱크탱크 연구원등을 공격했다는 것이다. 문종현 이스트시큐리티 센터장은 "탈륨이 국내 대북 분야 활동가를 상대로 거의 매일 사이버 첩보전을 수행하고 있다 해도 과언이 아닐 정도로 위협이 고조되고 있다"고 경고했다.
출처 : http://news.chosun.com/site/data/html_dir/2020/08/26/2020082600200.html
- 입력 2020.08.26 14:03