보안

“기자 메일과 소셜 계정을 해킹하라” 사이버 스파이의 주요 먹잇감 된 언론사

Lucian Constantin | CSO 2022.07.19
2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.
 
ⓒ Getty Images Bank

언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다. 

보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다. 
 

트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일 

언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다. 

예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-agent string, 운영체제와 이메일 클라이언트를 식별하는 용도) 정보가 공격자에게 전달된다. 그뿐만 아니라 이메일 계정을 표적 대상이 사용 중이라는 사실과 이메일을 읽었다는 중요한 정보가 공격자에게 전송된다. 

프루프포인트에 따르면, 2021년 1~2월 사이 TA412나 지르코늄(Zirconium)으로 불리는 중국의 APT 집단이 미국 내 언론인을 대상으로 웹 비컨 형태의 정찰 이메일을 전송했다 이메일 제목은 최신 뉴스 헤드라인이었으며, 이에 어울리는 적당한 기사 내용이 메일 본문에 포함됐다. 2021년 1월 6일 트럼프 지지자가 미 의사당에 난입한 사태 이후 이 공격은 더 심화됐고, 워싱턴 DC에 기반을 두거나 백악관에 출입하는 기자가 주요 공격 대상이었다.  

동일한 해커 집단은 한동안 공격을 멈추더니 2021년 8월 다시 정찰 활동을 시작했다. 주로 사이버보안, 감시, 프라이버시 관련 주제로 중국과 중국 정부에 대해 비판적으로 기사를 쓴 기자가 정찰 대상이었다. 그 후 2022년 2월 우크라이나 전쟁과 관련해 EU와 미국의 개입에 대해 기사를 쓴 기자들에게 또 한 번 정찰 공격이 이뤄졌다. 

TA412의 활동은 정찰에 집중되었지만 피해자의 메일이나 다른 방식을 통해 악성코드를 배포했을 가능성도 있다. 

실제로 TA459로 불리는 중국의 APT 집단은 지난 4월 조작된 파키스탄 정부 이메일 계정을 통해 언론인의 메일을 해킹했으며, 메일에는 악성코드인 RTF 문서가 첨부됐다. 해당 RTF 문서는 치녹시(Chinoxy)라는 백도어 프로그램을 포함했다. 프루프포인트는 러시아와 우크라이나 전쟁을 보도하는 미디어에 이 공격이 주로 이뤄졌다고 설명했다. 

북한 정부와 연계된 TA404라는 APT 집단도 북한이나 북한 지도자에 대한 비판 기사를 쓴 미디어 에 2022년 초 정찰 활동을 시작했다. 메일은 일자리를 제안하는 내용이었으며, 수신자별로 ID를 추적할 수 있는 URL도 포함됐다.

프루프포인트는 “후속 이메일을 관찰하지 못했지만 이 공격자는 악성 코드를 넣는 경향이 있다. 따라서 TA404가 악성 템플릿 문서나 이와 유사한 것을 보냈을 가능성이 높다”라고 말했다. 

구글의 위협분석그룹은 3월 블로그를 통해 “북한이 이메일 해킹 공격을 시도했다. 크롬의 취약점을 악용해 특정 웹페이지로 유도했으며, 주요 공격 대상은 언론사”이라고 밝혔다. 
 

가짜 정보 유포 수단인 언론인의 소셜 미디어

언론인에 대한 공격은 악성 코드 배포로 그치지 않고, 소셜 미디어 계정에도 이어졌다. 언론인의 소셜 미디어 계정으로 사기성 메시지를 전달하면, 파급 효과가 크고 조작된 정보를 널리 퍼뜨릴 수 있기 때문이다. 

2022년 초부터 프루프포인트는 터키의 APT 집단 활동을 추적했다. 터키 APT 집단은 메일 내용에 트위터의 보안 경고 메시지를 적어 메일 수신인이 가짜 링크를 접속하도록 유도했다. 메일 수신인이 링크를 클릭하면 트위터 인증 정보가 APT 집단에 넘어가는 식이었다.

프루프포인트는 “해당 공격은 간행물을 위해 글을 쓰는 개인에게 집중됐으며, 유명 미디어의 언론인이나 대학에서 글을 쓰는 사람 등이 포함됐다”라며 “목표는 트위터 인증 정보를 알아내는 것이었다”라고 설명했다. 

다만 공격자가 트위터 계정으로 무엇을 할 것인지는 분명하지 않은데, 언론인의 소셜 미디어 지인을 다시 공격해서 사적인 메시지를 읽거나 계정을 훼손하는 데 이용될 가능성이 있다. 

언론인으로 가장해 정보를 빼내거나 피싱 사이트로 이동시키는 것은 이란 APT 집단이 오랫동안 써먹은 수법이다. 프루프포인트는 이란과 연계된 차밍 키튼(Charming Kitten 또는 TA453), 토토이즈쉘(Tortoiseshell, 또는 TA456), TA457 같은 집단의 공격을 추적했는데, TA457은 언론인이나 미디어 종사자로 정체를 숨겨 미국, 이스라엘, 사우디아라비아에 있는 기업 홍보 담당자, 교수, 정책 전문가 등을 공격했다는 것을 확인했다.

프루프포인트는 “APT 공격 방식은 정찰을 위한 웹 비컨 전송, 인증 정보 획득, 수취인의 네트워크를 알기 위한 악성 코드 전송 등으로 다양해지고 있다. 미디어 종사자는 그만큼 보안에 경각심을 더 가져야 한다. 공격은 정보와 뉴스를 공유하는 데 사용되는 온라인 플랫폼 어디에서나 시작될 수 있다. 따라서 해당 플랫폼을 잘 관리하면 피해를 줄일 수 있을 것이다. 평소 보안에 신경 쓰면서 이메일의 정체나 출처를 검증한다면 APT 공격을 초기에 차단할 수 있다”라고 강조했다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.