토론토 대학 보안 연구기관인 시티즌랩(Citizen Lab)과 비영리단체 액세스나우(Access Now)가 러시아 정보기관인 국가안전보장기관(FSB)이 미국과 유럽 등에 거주하는 사용자를 대상으로 표적과 가까운 개인으로 위장해 피싱 공격을 수행하고 있다고 밝혔다.
러시아 해킹은 이전부터 보고되어 왔으며 2016년 미국 대통령 선거 당시 민주당 힐러리 클린턴 후보에 대해 러시아 정부가 지원하는 해커가 공격을 가했다는 게 밝혀졌다. 시티즌랩과 액세스나우 연구팀에 따르면 최근 러시아 정부와 관련된 공격은 기존보다 더 교묘해졌다고 한다. 최근에는 전 우크라이나 주재 미국 대사 스티븐 파이퍼와 언론사(Proekt Media) 기자 폴리나 마홀드를 대상으로 하는 사이버 공격이 있었다. 연구팀에 따르면 파이퍼에 대해 공격자는 파이퍼가 아는 다른 전직 미국 대사로 위장해 접촉했다고 한다. 마홀드의 경우도 마찬가지로 공격자는 마홀드가 잘 아는 사람으로 위장해 접촉하고 기자가 자주 사용하는 이메일 서비스인 프로톤메일(Proton Mail)을 모방한 사이트에 접속하게 해 피싱 공격을 위한 파일을 실행하게 했다고 보고됐다.
많은 경우 공격자는 표적이 잘 아는 사람으로 위장해 표적과 이메일을 주고받았다. 공격자는 먼저 표적에게 PDF 파일 검토를 요청한다. 이때 프로톤드라이브 등 프라이버시 중심 이메일 서비스를 이용한다고 하면서 이메일 주소나 비밀번호 입력을 요구하는 경우가 있다. 표적이 PDF 파일을 열기 위해 비밀번호나 2단계 인증 코드를 입력하면 공격자는 이 정보를 바탕으로 표적 이메일 계정에 접근할 수 있게 되는 것이다.
마홀드는 공격자가 자신이 이 사람과 관계가 있다는 것을 알고 있었고 자신의 경계심을 풀기 위해 그 사람을 이용한 것 같다며 이런 공격 수법은 지금까지 본 적이 없었다며 러시아 반정부와 관련된 누구나 표적이 될 수 있다면서 러시아 정부는 가능한 한 많은 정보를 필요로 한다고 말했다.
액세스나우 관계자는 이번 조사는 러시아 독립 언론과 망명 러시아인 인권단체, 그리고 전현직 미국 정부 당국자가 러시아 정부의 고도화된 피싱 공격에 직면하고 있음을 보여준다며 하지만 표적이 된 사람에게는 자신을 보호하기 위한 자원이 부족한 것이 현실이며 침해를 당할 경우 그 위험은 심각한 수준이 된다고 지적했다.
시티즌랩 관계자는 이런 공격자는 표적으로부터 인증 정보를 입수하자마자 이메일 계정이나 구글 드라이브 같은 온라인 저장소에 접근해 가능한 한 많은 기밀 정보를 추출하려고 한다며 망명 러시아인 단체에게는 러시아 내에 남아있는 사람 정보 등이 러시아 정부에 넘어가면 생명과 안전에 관한 중대한 위험이 있다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.