.gif)
3줄 요약
1. ‘1월신고납부변동통지서’ 위장, 클릭 유도..네이버 피싱 연결 계정탈취
2. 군사 칼럼니스트, 언론사 객원기자 등 총 5명 계정 탈취 확인
3. 전자문서 도착 알림·회원정보 변경 알림 등 주제로 네이버 고객센터 위장
[보안뉴스 김경애 기자] 북한 해커조직 ‘김수키’ 공격이 거세지고 있다. 국세청 ‘1월신고납부변동통지서’로 위장해 악성 메일을 유포하는가 하면, 네이버 고객센터 사칭의 피싱 공격으로 계정정보를 탈취한다.
▲북한 해커조직 김수키가 ‘1월신고납부변동통지서’로 위장해 유도한 네이버 피싱 화면 [자료: 보안뉴스]
2일 <보안뉴스>가 단독 입수한 자료에 따르면, 김수키는 지난 19일 국세청으로 위장해 ‘1월신고납부변동통지서’로 악성 메일을 유포했다. 통지서를 클릭하면 네이버 피싱 화면으로 연결되는 식이다.
클릭시 ID 보안설정 카테고리의 ‘비밀번호 재확인’ 웹페이지로 연결된다. 이 화면은 ‘안전한 네이버 사용을 위해 비밀번호를 다시 한 번 입력해주세요.’라는 문구와 함께, 사용자의 비밀번호 입력을 유도한다. 이런 식으로 김수키는 사용자 비밀번호 등 계정 정보를 탈취한다.
<보안뉴스>가 확인한 피해자 계정은 유명 군사 칼럼니스트와 북한 관련 센터 대표 등 총 5명이다. 이들은 지난 1~2월 발생한 유사한 공격에서도 주요 타깃이었단 게 보안전문가 분석이다.
▲네이버 권리보호센터 정상 메일(왼쪽)과 피싱 메일 [자료: 이스트시큐리티]
이스트시큐리티가 발표한 ‘ESRC 보안동향보고서’에 따르면, 김수키는 ‘전자문서 도착 알림’과 ‘회원정보 변경 알림’, ‘약관 위반 알림’ 등 다양한 주제로 네이버 고객센터를 사칭해 피싱 메일을 유포했다.
피싱 메일은 ‘작성하신 게시물이 게시중단 처리되어 안내드립니다.’란 제목으로 유포된다. 실제 공식 사이트에서 진행하는 게시중단 처리 안내 메일과 유사하게 제작됐다.
이메일 내에는 피싱 페이지 주소가 링크된 ‘[확인하러 가기]’ 버튼이 포함돼 있다. 사용자가 버튼을 클릭하면, 피싱 페이지로 접속된다. 특히 o-r.kr, p-e.kr 등은 김수키 조직이 공격할 때 자주 사용하는 도메인이라는 게 업계 분석이다.
류동주 성신여대 교수는 “피싱 공격은 이용자가 유사한 도메인을 정상 도메인으로 인식해 무심코 넘기는 점을 교묘히 이용한다”며 “북한 사이버 공격은 문서나 링크 외에도 다른 사이트로 유도하고 개인정보 탈취하는 게 빈번하다”고 말했다.
북한 해커가 네이버나 다음 메일을 대상으로 로그인 정보 탈취를 시도한 것은 공격 환경 구성이 손쉽고, 계정 탈취를 통해 얻는 이득이 크기 때문이다.
한승연 리니어리티 대표는 “네이버 클라우드와 같은 서비스나 계정 등을 통해 획득한 정보로, 보다 정교한 공격을 재시도할 수 있다”며 “또 메일함에 저장된 민감 정보를 유출할 수도 있고, 메일 수발신 목록을 파악해 사용자 지인 확인과 이들 대상의 추가 피싱 공격을 감행하기도 한다”고 설명했다.
이용자는 이메일 수신 시 발신자 주소와 접속 URL 확인이 중요하다. 정상 메일 경우 발신자 주소 앞에 공식 로고가 표시된다.
만약 피싱 메일을 통해 계정정보를 입력했다면, 즉시 계정 비밀번호를 변경해야 한다. 또 2단계 인증 및 타 지역 로그인 제한 등 추가 보안조치를 통해 계정도용 피해를 입지 않도록 주의해야 한다.
[김경애 기자(boan3@boannews.com)]
1. ‘1월신고납부변동통지서’ 위장, 클릭 유도..네이버 피싱 연결 계정탈취
2. 군사 칼럼니스트, 언론사 객원기자 등 총 5명 계정 탈취 확인
3. 전자문서 도착 알림·회원정보 변경 알림 등 주제로 네이버 고객센터 위장
[보안뉴스 김경애 기자] 북한 해커조직 ‘김수키’ 공격이 거세지고 있다. 국세청 ‘1월신고납부변동통지서’로 위장해 악성 메일을 유포하는가 하면, 네이버 고객센터 사칭의 피싱 공격으로 계정정보를 탈취한다.
▲북한 해커조직 김수키가 ‘1월신고납부변동통지서’로 위장해 유도한 네이버 피싱 화면 [자료: 보안뉴스]
2일 <보안뉴스>가 단독 입수한 자료에 따르면, 김수키는 지난 19일 국세청으로 위장해 ‘1월신고납부변동통지서’로 악성 메일을 유포했다. 통지서를 클릭하면 네이버 피싱 화면으로 연결되는 식이다.
클릭시 ID 보안설정 카테고리의 ‘비밀번호 재확인’ 웹페이지로 연결된다. 이 화면은 ‘안전한 네이버 사용을 위해 비밀번호를 다시 한 번 입력해주세요.’라는 문구와 함께, 사용자의 비밀번호 입력을 유도한다. 이런 식으로 김수키는 사용자 비밀번호 등 계정 정보를 탈취한다.
<보안뉴스>가 확인한 피해자 계정은 유명 군사 칼럼니스트와 북한 관련 센터 대표 등 총 5명이다. 이들은 지난 1~2월 발생한 유사한 공격에서도 주요 타깃이었단 게 보안전문가 분석이다.
▲네이버 권리보호센터 정상 메일(왼쪽)과 피싱 메일 [자료: 이스트시큐리티]
이스트시큐리티가 발표한 ‘ESRC 보안동향보고서’에 따르면, 김수키는 ‘전자문서 도착 알림’과 ‘회원정보 변경 알림’, ‘약관 위반 알림’ 등 다양한 주제로 네이버 고객센터를 사칭해 피싱 메일을 유포했다.
피싱 메일은 ‘작성하신 게시물이 게시중단 처리되어 안내드립니다.’란 제목으로 유포된다. 실제 공식 사이트에서 진행하는 게시중단 처리 안내 메일과 유사하게 제작됐다.
이메일 내에는 피싱 페이지 주소가 링크된 ‘[확인하러 가기]’ 버튼이 포함돼 있다. 사용자가 버튼을 클릭하면, 피싱 페이지로 접속된다. 특히 o-r.kr, p-e.kr 등은 김수키 조직이 공격할 때 자주 사용하는 도메인이라는 게 업계 분석이다.
류동주 성신여대 교수는 “피싱 공격은 이용자가 유사한 도메인을 정상 도메인으로 인식해 무심코 넘기는 점을 교묘히 이용한다”며 “북한 사이버 공격은 문서나 링크 외에도 다른 사이트로 유도하고 개인정보 탈취하는 게 빈번하다”고 말했다.
북한 해커가 네이버나 다음 메일을 대상으로 로그인 정보 탈취를 시도한 것은 공격 환경 구성이 손쉽고, 계정 탈취를 통해 얻는 이득이 크기 때문이다.
한승연 리니어리티 대표는 “네이버 클라우드와 같은 서비스나 계정 등을 통해 획득한 정보로, 보다 정교한 공격을 재시도할 수 있다”며 “또 메일함에 저장된 민감 정보를 유출할 수도 있고, 메일 수발신 목록을 파악해 사용자 지인 확인과 이들 대상의 추가 피싱 공격을 감행하기도 한다”고 설명했다.
이용자는 이메일 수신 시 발신자 주소와 접속 URL 확인이 중요하다. 정상 메일 경우 발신자 주소 앞에 공식 로고가 표시된다.
만약 피싱 메일을 통해 계정정보를 입력했다면, 즉시 계정 비밀번호를 변경해야 한다. 또 2단계 인증 및 타 지역 로그인 제한 등 추가 보안조치를 통해 계정도용 피해를 입지 않도록 주의해야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
