북한과 연계된 해커그룹 탈륨이 고 노태우 전 대통령 관련 뉴스를 이용해 해킹을 시도한 정황이 포착됐다. 사진은 네이버뉴스 공식계정으로 보낸 것처럼 위장한 악성 이메일. /사진=이스트시큐리티
북한과 연계된 해커그룹 탈륨이 고 노태우 전 대통령 관련 뉴스를 가장한 이메일로 해킹을 시도한 정황이 알려졌다.
통합 보안기업 이스트시큐리티는 28일 탈륨이 고 노태우 전 대통령 관련 뉴스를 이용해 해킹을 시도하고 있다고 밝혔다. 뉴스 사이트처럼 보이는 웹페이지로 유도해 사용자 IP주소를 모으거나 악성 파일을 설치하는 수법이다.

통합 보안기업 이스트시큐리티는 28일 해킹그룹 탈륨이 고 노태우 전 대통령 관련 뉴스를 이용해 해킹을 시도하고 있다고 밝혔다. 사진은 한 언론사 홈페이지를 그대로 본따 만든 해킹용 사이트. /사진=이스트시큐리티
이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 최근 탈륨은 북한 관련 분야에서 활동하는 대북 전문가들을 주요 표적으로 '네이버 뉴스'라는 발신자명으로 된 이메일을 보냈다. 메일 제목은 "'중요한 미팅' 장인 노태우 조문하고 미국 가는 최태원"이었으며 메일 주소는 'naver.com'이 아닌 'corn'으로 교묘히 위장돼있다. 첨부된 URL 링크를 누르면 한 언론사 웹 페이지로 가장한 화면이 나타난다.
언뜻 언론사 페이지처럼 보이지만 해당 페이지는 해외 서버와 연동돼있다. ESRC에 따르면 URL 접속 과정에서 사용자 IP주소와 웹 브라우저 등 일부 정보가 노출되거나 공격자가 추가 악성파일을 사용자 PC에 설치해 주요 정보를 유출할 수 있다.

ESRC는 발신지와 명령제어 서버주소 등을 분석한 결과 이번 해킹 시도의 배후가 탈륨이라고 전했다. 앞서 탈륨의 공격은 주로 악성코드를 삽입한 문서 파일을 다운받도록 유도하는 방식이었다. 하지만 이번에는 이메일 본문에 시사 뉴스를 가장한 악성 URL로 클릭을 유도했다.