6·15 남북공동선언기념 통일정책포럼 발제문으로 위장한 北 연계 해킹 주의
6·15 남북공동선언 22주년 통일정책포럼 발제문처럼 위장한 해킹 공격이 발견돼 관계자 여러분들의 각별한 주의가 요구됩니다.
이번 공격은 새 정부의 대북통일정책 방향을 진단하고 남북 평화를 모색하기 위해 준비된 통일정책포럼 관련 내용처럼 위장하고 있습니다. 공격자는 전형적인 이메일 피싱 수법을 활용하여 ‘동북아 신 지정학과 한국의 옵션.hwp’ 문서가 클라우드 첨부파일로 있는 것처럼 화면을 구성했고, 실제 포럼 행사에 발표자로 참석하는 국립외교원 외교안보연구소 교수가 보낸 것처럼 사칭했습니다.
해당 포럼은 실제로 6월 15일 한국프레스센터에서 개최되며, 외교·안보·통일 및 대북 분야 전문가들이 발표 및 토론자로 참여할 예정입니다.
[그림 1] 피싱 메일 및 피싱 사이트
만약 수신자가 해당 첨부파일을 클릭하면 해외에 구축된 피싱 사이트가 나타나고, [클라우드 파일을 다운하시려면 인증이 필요합니다.]라는 안내 메시지를 띄어줌으로써 피해자들의 의심을 낮추고자 시도합니다. 또한 사용 중인 포털 계정정보 입력을 유도하여 계정정보 탈취를 시도합니다.
피싱 사이트로 사용된 ‘kakao.cloudfiles.epizy[.]com’ 주소는 얼핏 보기에 포털 클라우드 첨부파일 링크로 무심코 넘길 수 있지만, 자세히 살펴보면 전혀 무관하다는 것을 금방 알 수 있습니다. 피싱에 사용된 ‘epizy[.]com’ 도메인은 ‘인피니티프리’로 알려진 해외 무료 웹 호스팅 서비스 주소로 북한 연계 피싱 공격 사례에서 지속적으로 발견되고 있습니다.
이번 피싱 주소와 유사한 형태로는 ‘naver.cloudfiles.epizy[.]com’, ‘snu.cloudfiles.epizy[.]com’, ‘korea.onedviver.epizy[.]com’, ‘yonsei.onedviver.epizy[.]com’ 등이 발견된 바 있습니다.
주로 국내 포털 회사나 특정 대학교의 도메인처럼 사칭한 것이 대표적으로, 대학교 주소처럼 위장한 경우 주로 외교·안보·통일 분야 강단에서 활동하는 교수진의 이메일을 집중 공격 한 것으로 드러났습니다.
[그림 2] 피싱 공격 후 보여지는 정상 문서 화면
만일 피해자가 계정정보 입력을 한다면, 이 후 특정 구글드라이브 주소로 변경하여 정상 문서를 보여주어 해킹 공격임을 인지하지 못하도록 합니다.
주목할 점은 최근 이와 유사한 공격에서 발견된 악성 및 정상 문서들의 마지막 저장 정보에 ‘kisa’ 이름이 공통으로 사용되었다는 사실인데, ‘kisa’ 이름이 사용된 여러 위협 사례들이 전부 북한 소행으로 지목된 페이크 스트라이커 캠페인과 정확히 일치하고 있어 ESRC에서는 현재 어떤 의도를 가진 공격인지 면밀한 관찰과 조사중에 있습니다.
최근 들어 악성 DOC나 HWP OLE 기반의 지능형지속위협(APT) 공격이 증가 추세를 보이고 있으며, 이 가운데 대용량 파일이나 클라우드 기반 첨부파일처럼 조작한 이메일 피싱도 꾸준히 보고되고 있습니다.
뿐만 아니라,해외 무료 웹 호스팅을 악용한 공격은 이미 수년 전부터 계속 진행 중이며, 주로 북한이 연계된 ‘페이크 스트라이커’ 위협 캠페인에서 발견되고 있습니다. 이들은 ‘인피니티프리’ 외에도 다양한 도메인 주소를 제공하는 ‘웹프리호스팅’이라는 해외 서비스도 번갈아 가면서 사용 중입니다.
6월에도 北 소행으로 지목된 사이버 안보위협은 외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인까지 꾸준히 이어지고 있으며, 특히 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있어, 기업 및 기관 뿐만 아니라 일반 사용자들 역시 유사한 사설 바카라위협에 노출되지 않도록 더 많은 관심과 주의가 필요합니다.
한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.