카스퍼스키가 가짜 표절 검사 보고서를 미끼로 학술 연구자를 노린 표적형 피싱 공격 ‘ForumTroll’ APT 활동을 탐지했다. 이번 공격은 공식 학술 포털을 정교하게 모방한 가짜 웹사이트와 이메일을 활용해 수신자가 링크를 클릭하고 악성 파일을 실행하도록 유도하는 방식이 특징이다.

 

카스퍼스키 글로벌 연구 분석팀(GReAT)에 따르면, 공격자는 러시아의 공식 학술 포털을 본뜬 가짜 웹사이트를 제작하고 해당 사이트에서 생성된 이메일 주소를 발신자로 사용해 피싱 메일을 유포했다. 이메일에는 수신자가 표절 검사 보고서를 다운로드해야 한다는 내용이 담겼으며 링크를 클릭하면 피해자 이름을 파일명으로 한 ZIP 압축 파일이 전달됐다. 압축 파일 내부에는 악성코드 설치를 위한 바로가기 파일과 함께 정상 자료처럼 보이도록 구성된 이미지 파일 폴더가 포함돼 있었다.

 

사용자가 바로가기 파일을 실행하면 공격자의 서버와 통신하는 코드가 실행돼 악성코드가 설치된다. 이 악성코드는 재부팅 이후에도 지속 실행되도록 설계됐다. 동시에 흐릿하게 처리된 PDF 파일이 열리는데 이는 표절 검사 보고서처럼 보이도록 만들어 사용자가 공격을 일상적인 학술 절차로 오인하게 하려는 목적이다.

 

 

최종적으로 설치되는 악성코드는 ‘Tuoni’로, 보안 테스트에 사용되는 상용 해킹 도구다. ForumTroll이 이를 악용해 피해자 디바이스에 대한 원격 접근 권한을 확보하고 내부 네트워크에서 추가적인 악성 행위를 수행할 수 있는 것으로 분석됐다. 카스퍼스키는 공격자들이 명령·제어 서버를 클라우드 인프라에 호스팅하고 방문자의 운영체제에 따라 서로 다른 메시지를 표시하거나 반복 다운로드를 제한하는 등 분석을 회피하기 위한 정교한 기법을 사용한 점도 확인했다.

 

이번 캠페인은 카스퍼스키 GReAT가 2025년 3월 최초로 문서화한 ForumTroll 작전의 연장선으로 기존 조직 중심 공격에서 벗어나 정치학자, 국제관계 전문가, 경제학자 등 개인 연구자를 직접 겨냥하는 방향으로 변화했다는 점에서 주목된다. 카스퍼스키는 ForumTroll이 최소 2022년부터 러시아와 벨라루스 내 표적을 상대로 장기간 활동해 온 것으로 평가하고 있다.

 

게오르기 쿠체린 카스퍼스키 GReAT 선임 보안 연구원은 “표절 주장과 같이 불안감을 유발하는 피싱 메시지는 연구자의 신속한 클릭을 유도하는 데 특히 효과적일 수 있다”며 “개인 기기에 보안 소프트웨어를 유지하고 예상치 못한 첨부 파일과 링크를 주의 깊게 다루는 것이 중요하다”고 말했다.

 

이효은 카스퍼스키 한국지사장은 “학계 역시 고도화된 사이버 공격의 주요 표적이 되고 있다”며 “ForumTroll과 같은 APT 조직의 활동은 우려스러운 수준으로 국내 학술 커뮤니티도 높은 경각심을 유지해야 한다”고 밝혔다. 이어 “카스퍼스키는 지속적인 연구개발과 기술 투자를 통해 학술 연구 환경의 보안을 적극 지원할 것”이라고 전했다.

 

헬로티 구서경 기자 |