에이아이스페라, 고려대 피싱 사이트 HTML 분석...위협헌팅 도구 발리딘 통해 김수키로 추정
보안 강화된 정부 및 공공기관보다 상대적으로 보안 취약한 대학, 연구기관 노려
대학 포털 피싱 사이트, 학부생 뿐만 아니라 국방 및 국가 프로젝트 다루는 석박사 및 교수 피해 우려
[보안뉴스 김영명 기자] 북한 해킹그룹 김수키(Kimsuky)가 고려대 포털 사이트로 위장한 피싱사이트를 개발한 것으로 추정돼 우려가 커지고 있다. 해당 고려대 피싱 사이트를 확인해보니 고려대 공식 포털사이트와 완전히 같은 모습이었다.
▲북한 해킹 그룹 김수키가 개발한 것으로 추정되는 고려대 피싱 사이트[자료=에이아이스페라]
에이아이스페라(AI SPERA)는 이번에 발견된 피싱 사이트를 분석해 김수키와 연관성이 있다고 추정하며, 국내 대학 타깃 공격이 우려된다는 분석을 내놓았다. 피싱사이트의 HTML을 분석한 결과, 웹사이트는 기본적으로 마이크로소프트 윈도(Windows) 서버를 사용하고 있었으며, 웹 개발 초보들이나 학생들이 주로 사용하는 XAMPP 프레임워크를 사용해 구축한 매우 간단한 웹사이트 구성이었다.
그리고 포털의 기능들인 메일, 수강신청, 연구포털, 도서관 등 고려대 포털의 기본적인 기능을 클릭하면 실제 고려대 포털 사이트로 이동하도록 설정됐으나, 로그인창에 ID와 비밀번호를 입력하면 ‘username=xxxx&password=yyyy’ 형태로 계정 정보가 포함된 URI가 해커에게 전달되도록 구성돼 있었다. 이는 전형적인 피싱 공격의 형태이며, 탈취한 고려대 학생들의 계정 정보는 해커의 동일 서버의 특정 URI 경로에 차곡차곡 쌓이도록 구성됐다는 게 에이아이스페라 측의 설명이다.
▲해커의 서버로 전송된 탈취된 고려대 학생들의 계정 정보 목록[자료=에이아이스페라]
또 다른 사실은 이번에 발견된 서버에는 고려대 뿐만 아니라 다른 여러 대학들의 피싱 사이트도 개발돼 있었다는 것이다. 예를 들어 디렉토리 리스팅된 폴더를 조사하는 과정에서 성균관대 포털의 피싱 사이트도 발견할 수 있었다.
에이아이스페라는 고려대 피싱 사이트의 도메인와 IP 주소를 분석했다. CTI 기반 검색엔진 Criminal IP에서 해당 피싱 도메인에 매핑돼 있는 IP 주소를 조사한 결과, IP 주소의 as_name은 ‘UCLOUD INFORMATION TECHNOLOGY HK LIMITED’이며, UCloud Information Technology라는 중국의 클라우드 서버를 쓰는 것으로 확인할 수 있었다. 클라우드 서비스 제공업체 자체는 중국에 위치하지만, IP 주소는 한국 리전으로 되어 있어 서버 자체는 한국에 있음을 알 수 있다.
국내 대학 석박사 연구원의 주요 프로젝트 탈취 우려도
이번 공격에서 주목할만한 점은 해당 피싱 사이트들의 주요 공격 목표 설정이 우리나라 대학의 포털 사이트라는 점이다. 이 포털 사이트는 학부생들도 접속하지만, 석·박사 연구원들이나 교수들도 함께 접속하는 사이트라는 데서 더욱 큰 피해가 우려된다. 교수와 석·박사 연구원들은 국방이나 국가 관련 주요 프로젝트를 수행하기도 하기 때문에 학부생보다는 해커의 주요 타깃이 될 수 있다.
끊임없는 북한 해킹 이슈로, 이미 대한민국의 국가기관이나 공공기관 서버들은 계속해서 보안을 강화하고 있으며 다양한 보안 솔루션으로 탐지 능력을 높이고 있다. 만약 대학 피싱 사이트 서버가 해커조직 김수키가 만든 서버가 맞다면, 이들은 국가정보를 탈취하기 위해 보안이 강화된 국가기관 자체를 해킹하기보다는 해당 국가정보를 함께 공유하는 다른 기관을 타깃으로 삼았을 가능성이 높다. 대부분의 학교는 예산 문제로 보안 규정이 상당히 느슨하게 설정돼 있다. 보안업계에서는 “학교는 늘 취약하지만, 돈이 없으니 그냥 둔다”는 말이 심심치 않게 돌고 있기 때문이다.
물론 이번 사건이 김수키의 소행이라는 구체적인 근거는 아직 나오진 않은 상태다. 미국에 기반을 두고 있는 위협헌팅 도구인 발리딘(Validin)에서만 해당 피싱 도메인을 김수키와 연관된 것이라고 정의하고 있는 정도다. 하지만 북한 해커들이 우리나라 학교나 연구기관을 노리고 있을 것이라는 의심은 충분히 할 수 있다.
▲고려대 피싱 도메인을 김수키와 관련된 것으로 판단한 위협추적 도구 Validin[자료=에이아이스페라]
‘해커들은 같은 목적을 달성하기 위해 보다 쉬운 타깃을 선정해 공격한다’는 속설이 있다. 이를 방증하는 대표적인 사례로 대기업의 정보를 탈취하기 위해 보안 시스템이 빡빡하게 되어 있는 대기업 자체를 공격하기보다는 해당 대기업의 하청을 받아 일하는 협력사를 공격하는 것이다. 같은 정보를 공유하고 있으면서 해킹하기 쉬운 상대를 공략하는 것은 해커들의 기본 전술이기 때문이다.
에이아이스페라의 관계자는 “중요도 높은 데이터를 취급하고 있다면 국가기관의 연구를 수행하는 학교나 대기업의 하청을 받아 수행하는 중소기업 협력사나 모두 보안에 대한 경각심을 높일 필요가 있다”고 당부했다.
[김영명 기자(boan@boannews.com)]
보안 강화된 정부 및 공공기관보다 상대적으로 보안 취약한 대학, 연구기관 노려
대학 포털 피싱 사이트, 학부생 뿐만 아니라 국방 및 국가 프로젝트 다루는 석박사 및 교수 피해 우려
[보안뉴스 김영명 기자] 북한 해킹그룹 김수키(Kimsuky)가 고려대 포털 사이트로 위장한 피싱사이트를 개발한 것으로 추정돼 우려가 커지고 있다. 해당 고려대 피싱 사이트를 확인해보니 고려대 공식 포털사이트와 완전히 같은 모습이었다.
▲북한 해킹 그룹 김수키가 개발한 것으로 추정되는 고려대 피싱 사이트[자료=에이아이스페라]
에이아이스페라(AI SPERA)는 이번에 발견된 피싱 사이트를 분석해 김수키와 연관성이 있다고 추정하며, 국내 대학 타깃 공격이 우려된다는 분석을 내놓았다. 피싱사이트의 HTML을 분석한 결과, 웹사이트는 기본적으로 마이크로소프트 윈도(Windows) 서버를 사용하고 있었으며, 웹 개발 초보들이나 학생들이 주로 사용하는 XAMPP 프레임워크를 사용해 구축한 매우 간단한 웹사이트 구성이었다.
그리고 포털의 기능들인 메일, 수강신청, 연구포털, 도서관 등 고려대 포털의 기본적인 기능을 클릭하면 실제 고려대 포털 사이트로 이동하도록 설정됐으나, 로그인창에 ID와 비밀번호를 입력하면 ‘username=xxxx&password=yyyy’ 형태로 계정 정보가 포함된 URI가 해커에게 전달되도록 구성돼 있었다. 이는 전형적인 피싱 공격의 형태이며, 탈취한 고려대 학생들의 계정 정보는 해커의 동일 서버의 특정 URI 경로에 차곡차곡 쌓이도록 구성됐다는 게 에이아이스페라 측의 설명이다.
▲해커의 서버로 전송된 탈취된 고려대 학생들의 계정 정보 목록[자료=에이아이스페라]
또 다른 사실은 이번에 발견된 서버에는 고려대 뿐만 아니라 다른 여러 대학들의 피싱 사이트도 개발돼 있었다는 것이다. 예를 들어 디렉토리 리스팅된 폴더를 조사하는 과정에서 성균관대 포털의 피싱 사이트도 발견할 수 있었다.
에이아이스페라는 고려대 피싱 사이트의 도메인와 IP 주소를 분석했다. CTI 기반 검색엔진 Criminal IP에서 해당 피싱 도메인에 매핑돼 있는 IP 주소를 조사한 결과, IP 주소의 as_name은 ‘UCLOUD INFORMATION TECHNOLOGY HK LIMITED’이며, UCloud Information Technology라는 중국의 클라우드 서버를 쓰는 것으로 확인할 수 있었다. 클라우드 서비스 제공업체 자체는 중국에 위치하지만, IP 주소는 한국 리전으로 되어 있어 서버 자체는 한국에 있음을 알 수 있다.
국내 대학 석박사 연구원의 주요 프로젝트 탈취 우려도
이번 공격에서 주목할만한 점은 해당 피싱 사이트들의 주요 공격 목표 설정이 우리나라 대학의 포털 사이트라는 점이다. 이 포털 사이트는 학부생들도 접속하지만, 석·박사 연구원들이나 교수들도 함께 접속하는 사이트라는 데서 더욱 큰 피해가 우려된다. 교수와 석·박사 연구원들은 국방이나 국가 관련 주요 프로젝트를 수행하기도 하기 때문에 학부생보다는 해커의 주요 타깃이 될 수 있다.
끊임없는 북한 해킹 이슈로, 이미 대한민국의 국가기관이나 공공기관 서버들은 계속해서 보안을 강화하고 있으며 다양한 보안 솔루션으로 탐지 능력을 높이고 있다. 만약 대학 피싱 사이트 서버가 해커조직 김수키가 만든 서버가 맞다면, 이들은 국가정보를 탈취하기 위해 보안이 강화된 국가기관 자체를 해킹하기보다는 해당 국가정보를 함께 공유하는 다른 기관을 타깃으로 삼았을 가능성이 높다. 대부분의 학교는 예산 문제로 보안 규정이 상당히 느슨하게 설정돼 있다. 보안업계에서는 “학교는 늘 취약하지만, 돈이 없으니 그냥 둔다”는 말이 심심치 않게 돌고 있기 때문이다.
물론 이번 사건이 김수키의 소행이라는 구체적인 근거는 아직 나오진 않은 상태다. 미국에 기반을 두고 있는 위협헌팅 도구인 발리딘(Validin)에서만 해당 피싱 도메인을 김수키와 연관된 것이라고 정의하고 있는 정도다. 하지만 북한 해커들이 우리나라 학교나 연구기관을 노리고 있을 것이라는 의심은 충분히 할 수 있다.
▲고려대 피싱 도메인을 김수키와 관련된 것으로 판단한 위협추적 도구 Validin[자료=에이아이스페라]
‘해커들은 같은 목적을 달성하기 위해 보다 쉬운 타깃을 선정해 공격한다’는 속설이 있다. 이를 방증하는 대표적인 사례로 대기업의 정보를 탈취하기 위해 보안 시스템이 빡빡하게 되어 있는 대기업 자체를 공격하기보다는 해당 대기업의 하청을 받아 일하는 협력사를 공격하는 것이다. 같은 정보를 공유하고 있으면서 해킹하기 쉬운 상대를 공략하는 것은 해커들의 기본 전술이기 때문이다.
에이아이스페라의 관계자는 “중요도 높은 데이터를 취급하고 있다면 국가기관의 연구를 수행하는 학교나 대기업의 하청을 받아 수행하는 중소기업 협력사나 모두 보안에 대한 경각심을 높일 필요가 있다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
