카스퍼스키는 자사의 글로벌 연구·분석팀(GReAT)이 러시아 주요 대학과 연구기관 소속 정치학자·국제관계 전문가 등을 겨냥한 지능형 지속 위협(APT) 공격 조직 ‘ForumTroll’의 신규 공격 캠페인을 탐지했다고 7일 밝혔다.

이번 공격은 공식 학술 포털을 모방한 가짜 웹사이트를 만들고, 표절 검사 보고서를 확인하라는 이메일을 보내 악성코드를 유포하는 방식으로 이뤄졌다. 기존에 기관 단위로 이뤄지던 공격에서 벗어나, 개별 연구자를 직접 겨냥했다는 점이 특징이다.

카스퍼스키에 따르면 공격자들은 지난해 10월, 러시아 학술 포털 ‘eLibrary’를 사칭한 도메인에서 생성한 이메일 주소를 발신자로 사용해 피싱 메일을 유포했다. 이메일에는 수신자가 링크를 클릭해 표절 검사 보고서를 내려받도록 유도하는 문구가 담겼다. 링크를 통해 전달된 파일은 연구자의 실명을 파일명으로 사용한 압축 파일이었다.

압축 파일 안에는 바로가기 파일과 일반 이미지 파일이 함께 포함돼 있었다. 사용자가 바로가기 파일을 실행하면 공격자 서버와 통신하며 악성코드가 설치되고, 동시에 흐릿하게 처리된 PDF 문서가 열려 정상적인 표절 검사 보고서처럼 보이도록 위장했다. 악성코드는 재부팅 이후에도 지속 실행되도록 설계된 것으로 확인됐다.

최종적으로 설치되는 악성코드는 ‘Tuoni’로, 원격 접근과 추가 악성 행위를 가능하게 하는 상용 해킹 도구다. 카스퍼스키는 공격자들이 클라우드 기반 인프라를 활용해 분석을 회피하고, 접속자의 운영체제에 따라 서로 다른 메시지를 노출하는 등 치밀한 준비를 해온 점도 확인했다고 밝혔다.

카스퍼스키 GReAT는 ForumTroll이 최소 2022년부터 러시아와 벨라루스를 중심으로 장기간 활동해 온 것으로 보고 있다. 앞서 이 조직은 크롬 취약점(CVE-2025-2783)을 악용하고, 과거 해킹팀과 연관된 상용 스파이웨어를 사용한 정황도 포착된 바 있다.

게오르기 쿠체린 카스퍼스키 GReAT 선임 연구원은 “학술 프로필과 공개 연락처를 가진 연구자들은 고도화된 위협 행위자의 주요 표적이 된다”며 “표절 주장처럼 불안을 자극하는 이메일은 특히 클릭을 유도하기 쉬운 만큼 각별한 주의가 필요하다”고 했다.

이효은 카스퍼스키 한국지사장은 “학계 역시 사이버 공격의 주요 표적이 되고 있다”며 “국내 학술 커뮤니티도 고도화된 APT 공격에 대한 경각심을 높여야 한다”고 말했다.

카스퍼스키는 연구자와 학술기관을 대상으로 △표절·연구윤리 문제를 언급한 예상치 못한 이메일 경계 △첨부파일 실행 전 공식 채널을 통한 진위 확인 △운영체제·브라우저 최신 상태 유지 △신뢰할 수 있는 보안 솔루션 사용 등을 권고했다.