이원영 기자
구글 위협 분석 그룹(TAG)이 8월 14일 이란 혁명수비대(IRGC)의 지원을 받는 해커 그룹 APT42가 지난 5월부터 6월 사이 미국 대선 민주당·공화당 진영 12명을 대상으로 해킹을 시도했다는 보고서를 발표했다.
TAG에 따르면 APT42는 2024년 5월부터 6월 사이 미국 정부 전현직 고위 관료, 미국 대선 캠페인 관계자 12명을 대상으로 피싱 공격을 실행했다고 한다. APT42 공격은 민주당·공화당 진영을 가리지 않고 이뤄졌으며 TAG는 표적 개인 이메일 주소로 로그인하려는 다수 시도를 차단했다고 보고했다.
또 TAG는 APT42가 한 저명한 정치 컨설턴트의 개인 G메일 계정에 접근한 걸 확인했으며 지난 7월 FBI에 이를 보고했다고 밝혔다.
TAG 보고서에 따르면, APT42는 표적에게 실제 조직이나 개인을 사칭해 개인 정보를 탈취하는 피싱 이메일을 보내거나 구글 드라이브나 구글 로그인 화면으로 위장한 팝업 페이지를 표시하는 등 수법으로 표적 PC에 침입했다. 더 지위가 높은 관계자들에게 피싱 이메일을 보내기 위해 표적 PC를 무기화했다는 점도 지적됐다.
미국 대선 관계자 뿐 아니라 APT42는 이스라엘 군대, 정부, 외교 기관에도 피싱 공격을 실시한 것으로 보고됐다. 실제로 2월부터 7월 말까지 기간 동안 이스라엘과 미국 사용자가 APT42 표적 60%를 차지했다.
또 2월부터 7월 말까지 이스라엘을 표적으로 한 APT42 공격이 급증했으며 최고조 시에는 하루 45건에 이르는 피싱 캠페인이 전개된 것으로 밝혀졌다.
TAG에 따르면 APT42가 도시 공격에 관한 의견을 구하는 기자로 행세하며 이스라엘 전직 군·항공우주 고위 관료를 소셜 엔지니어링하려 한 사례도 확인됐다고 한다. 또 APT42는 이스라엘 군사 연구소 등 조직을 모방해 유사한 웹사이트나 이메일 도메인을 사용한 것으로 지적됐다.
TAG는 분쟁을 종식시키기 위한 중재에 나서도록 이스라엘 정부에 요구하는 APT42가 제작한 여러 웹사이트를 삭제했다며 일부 사이트에는 HTML 대신 이미지 파일이 삽입되어 있어 접속하면 피싱 페이지로 리다이렉트되게 되어 있었다고 보고했다.
그리고 TAG는 미국 선거 관련 정보에 계속 주의를 기울이고 있으며 해당 의원이나 후보자, 선거 운동원, 기자, 선거 관계자, 정부 관계자 등 위험도가 높은 모든 개인에게는 구글 고급 보호 프로그램에 등록할 것을 권고하고 있다. 고급 보호 프로그램은 사용자를 피싱 공격 등으로부터 보호하도록 설계된 무료 옵트인 프로그램으로 비밀번호가 유출된 경우에도 허가되지 않은 사용자는 계정에 로그인할 수 없다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
