6·15 남북공동선언 22주년 이슈 악용한 북한 해킹 공격 포착됐다

2022-06-15 10:19
  • 카카오톡
  • url
6·15 남북공동선언 22주년 통일정책포럼 발제문으로 위장한 피싱 공격 발견
‘동북아 신 지정학과 한국의 옵션.hwp’ 문서를 첨부한 것처럼 현혹
국립외교원 외교안보연구소 교수로 사칭해 해킹 공격 시도...공격 배후 북한 소행 지목


[보안뉴스 권 준 기자] 6·15 남북공동선언이 22주년을 맞는 가운데 실제 개최되는 통일정책포럼 행사를 악용한 북한 해커조직의 사이버 공격이 발견돼 통일·외교·안보 분야 종사자들의 각별한 주의가 요구된다.


▲해킹 공격 이메일과 피싱 사이트 모습[자료=이스트시큐리티]

보안 전문 기업 이스트시큐리티는 마치 6·15 남북공동선언 22주년 통일정책포럼 발제문처럼 위장한 해킹 공격이 발견됐다고 밝혔다. 이번 위협 사례는 새 정부의 대북통일정책 방향을 진단하고 남북 평화를 모색하기 위해 준비된 통일정책포럼 관련 내용처럼 위장됐다. 실제 해당 포럼은 6월 15일 한국프레스센터에서 개최되며, 외교·안보·통일 및 대북 분야 전문가들이 발표 및 토론자로 참여할 예정이다.

이번 공격에는 전형적인 이메일 피싱 수법이 활용됐는데, ‘동북아 신 지정학과 한국의 옵션.hwp’ 문서가 클라우드 첨부파일로 있는 것처럼 화면을 구성했고, 실제 포럼 행사에 발표자로 참석하는 국립외교원 외교안보연구소 교수가 보낸 것처럼 사칭했다.


▲피싱 공격 후 보여지는 정상 문서 화면[자료=이스트시큐리티]

만약 수신자가 해당 첨부파일을 클릭하면 해외에 구축된 피싱 사이트가 나타나고, [클라우드 파일을 다운하시려면 인증이 필요합니다.]라는 안내 메시지를 띄어 피해자로 하여금 의심을 덜 하도록 만든다. 그리고 사용 중인 포털 이메일 비밀번호를 입력하도록 유도한다.

피싱 사이트로 사용된 ‘kakao[.]cloudfiles[.]epizy[.]com’ 주소는 얼핏 보기에 포털 클라우드 첨부파일 링크로 무심코 넘길 수 있지만, 자세히 살펴보면 전혀 무관하다는 것을 금방 알 수 있다. 피싱에 사용된 ‘epizy[.]com’ 도메인은 ‘인피니티프리’로 알려진 해외 무료 웹 호스팅 서비스 주소로 북한 연계 피싱 공격 사례에서 지속 발견되고 있다.

이번 피싱 주소와 유사한 형태로 ‘naver[.]cloudfiles[.]epizy[.]com’, ‘snu[.]cloudfiles[.]epizy[.]com’, ‘korea[.]onedviver[.]epizy[.]com’, ‘yonsei[.]onedviver[.]epizy[.]com’ 등이 발견된 바 있다. 주로 국내 포털 회사나 특정 대학교의 도메인처럼 사칭한 것이 대표적으로, 대학교 주소처럼 위장한 경우 주로 외교·안보·통일 분야 강단에서 활동하는 교수진의 이메일을 집중 공격한 것으로 드러났다.

최근 들어 악성 DOC나 HWP OLE 기반의 지능형지속위협(APT) 공격이 증가 추세를 보이고 있다. 이 가운데 대용량 파일이나 클라우드 기반 첨부파일처럼 조작한 이메일 피싱이 꾸준히 보고되고 있는 만큼, 유사한 보안위협에 노출되지 않도록 이용자들의 더 많은 관심과 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, 해외 무료 웹 호스팅을 악용한 공격은 이미 수년 전부터 계속 사용 중이며, 주로 북한이 연계된 ‘페이크 스트라이커’ 위협 캠페인에서 발견된다. 이들은 ‘인피니티프리’ 외에도 다양한 도메인 주소를 제공하는 ‘웹프리호스팅’이라는 해외 서비스도 번갈아 가면서 사용 중이다.

이러한 공격의 최근 공통점은 비밀번호가 유출된 직후 실제 정상적인 문서를 내려 보내 준다는 점인데, 그로 인해 피해자는 자신의 해킹 여부를 쉽게 인지하지 못한 채 시간이 갈수록 피해 범위 확대로 이어지는 실정이다.

ESRC에 따르면 이번 공격 역시 비밀번호 입력 과정 이후에 특정 구글 드라이브 주소로 변경해 문서를 보여준다. 특히, 주목할 점은 최근 이와 유사한 공격에서 발견된 악성 및 정상 문서들의 마지막 저장 정보에 ‘kisa’ 이름이 공통으로 사용된 것이다. 분석 결과, ‘kisa’ 이름이 사용된 여러 위협 사례들이 전부 북한 소행으로 지목된 페이크 스트라이커 캠페인과 정확히 일치하고 있어 현재 어떤 의도를 가진 공격인지 면밀한 관찰과 조사를 진행 중이다.

ESRC 센터장 문종현 이사는 “6월에도 北 소행으로 지목된 사이버 안보위협은 외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인까지 꾸준히 이어지고 있는 실정이다”라며 “특히, 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있어 사이버 보안 강화에 더 많은 관심과 투자가 절실하다”고 당부했다.

한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기