북한의 탈륨이란 단체가 인권 및 세계 평화, 핵 관련 그룹 노려
정교한 스피어피싱 메일이 특징...소셜 미디어 등 통해 정보 충분히 수집하는 듯

[보안뉴스 문가용 기자] 마이크로소프트가 북한 해킹 단체들이 사이버 공격에 활용하는 웹 도메인들을 압수하라는 법원의 영장을 받았다고 발표했다. 이번에 압수 대상이 된 도메인 중에는 인권 단체나 활동가들, 연구자들을 노리는 북한 해커들의 공격과 연관돼 있는 것이 많다고 한다.


이번 영장에서 언급된 북한 해킹 그룹의 이름은 탈륨(Thallium)이며, “마이크로소프트 브랜드와 트레이드마크를 악용해 온라인 사용자들을 속이는 수법으로 다양한 사람들을 공격하고 있다”고 한다. “주로 계정 탈취, 컴퓨터 감염, 민감 정보 탈취 등을 목적으로 한 공격이 발생하고 있다”고 마이크로소프트의 부회장인 톰 버트(Tom Burt)는 설명한다.

“여태까지 탈륨의 공격에 당한 피해자들을 봤을 때 인권이나 세계 평화 쪽과 관련된 업무를 맡고 있는 정부 기관, 싱크탱크, 대학 교수나 교직원, 비영리 단체장 등인 것으로 나타났습니다. 또한 핵 확산 문제와 관련된 업무나 연구를 진행하는 개인들도 다수 포함되어 있습니다. 피해자들은 미국, 일본, 한국에 집중되어 있기도 합니다.”

마이크로소프트는 자사의 디지털 범죄팀(Digital Crimes Unit)과 위협첩보센터(Threat Intelligent Center)를 통해 수사를 진행하고 있으며, 현재까지 “공격자들이 보낸 스푸핑 이메일을 여러 개 발견했다”고 한다. “전부 마이크로소프트에서 온 것처럼 꾸며져 있으며, 사용자들이 크리덴셜을 입력하도록 설계되어 있습니다.”

탈륨의 스피어피싱 이메일은 대단히 정교하다고 마이크로소프트는 설명한다. “아마도 실제 공격 전에 소셜 미디어 등 조직과 개인의 정보가 공식적으로 공개 및 공유되는 사이트에서 여러 가지 정보를 취합해 공부하는 것 같습니다. 그래서 스피어피싱 메일들이 하나 같이 친밀하고 개인적이며, 따라서 상당히 믿을 만 합니다. 속기 쉬워요.”

크리덴셜을 확보한 탈륨은 이를 가지고 이메일, 연락처, 캘린더 등에 접근한다. 그리고 새로운 정보가 발견될 때마다 전달 받는다. 또한 악성 소프트웨어를 적극 사용해 피해자의 컴퓨터에서 정보를 수집하기도 한다.

마이크로소프트가 이러한 사실을 알리자 미국 버지니아의 연방 법원은 마이크로소프트가 도메인을 압수 및 통제할 수 있도록 허락했다. 앞으로 해당 도메인들이 공격에 활용될 수 없도록 하라는 것이다. 버트는 “그러한 조치를 취하고 있다”고 발표했다.

마이크로소프트가 사법 기관과 손을 잡고 국가 지원 해킹 그룹에 대하여 직접적인 조치를 취한 건 이번이 네 번째다. 마이크로소프트가 공격을 방해한 단체들과 국적은 다음과 같다.
1) 중국의 바륨(Barium)
2) 러시아의 스트론튬(Strontium)
3) 이란의 포스포러스(Phosphorus)

3줄 요약
1. 마이크로소프트, 법원 영장 받아 북한 해커의 공격용 도메인 빼앗음.
2. 탈륨이라는 해킹 단체, 인권 관련 활동가 및 조직들 노림.
3. 국가 지원 해커들, MS에 차단당한 것이 이번이 네 번째.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>