이스트시큐리티(대표 정진일)는 마치 '2022 외교안보연구소(IFANS) 국제문제회의' 모시는 글처럼 위장한 북한 연계 해킹 공격이 등장했다며, 26일 각별한 주의를 당부했다.
이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최 예정인 실제 행사를 미끼로 활용했고, 외교·안보·국방 분야 전문가를 초대하는 것처럼 현혹해 구글 설문지를 작성하도록 유도하는 흥미로운 공격 수법이 쓰였다.
국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 '2022 IFANS 국제문제회의 개최' 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다.
초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보여지는 것이 마치 구글 설문지 포맷처럼 보이는데, 연결된 곳은 'docxooqle.epizy[.]com' 주소이다. 웹 사이트를 자세히 살펴보면 구글처럼 위장된 가짜 사이트라는 것을 인지할 수 있다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과, 공격자는 실제 구글 설문지 포맷을 교묘하게 모방해 공격에 활용했다.
특히, 설문지 작성 항목을 고려해 피해 대상자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 1차 정보 탈취를 시도한다. 그 이후 설문 작성 등록이 완료되면 'accounts.qocple.epizy[.]com' 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 이어간다.
이로 인해 주요 개인정보 및 구글 계정 비밀번호 유출까지 연쇄적 해킹 피해로 이어질 수 있어 세심한 주의가 필요하고, 평상시 접속하는 사이트가 공식 주소인지 꼼꼼히 살펴보는 보안 습관이 요구된다.
여기서 복수로 발견된 'epizy[.]com' 도메인은 '인피니티 프리(Infinity Free)'라는 해외 무료 웹 호스팅 서비스이며 최근 북한 연계 해킹 사건에서 공통적으로 발견되고 있다. 이는 일명 '페이크 스트라이커(Fake Striker)' 위협 캠페인으로 잇따라 등장하고 있다.
ESRC는 상대적으로 개인정보 탈취를 쉽게 구성한 1차 구글 설문지 피싱 수법과 2차 피싱을 위한 구글 로그인 화면에 한글이 아닌 영문으로 구성한 점에 주목했다. 피해 대상자들이 평소 영문 서비스에 친숙한 인물일 가능성이 높은 대목이다.
한편, 이번 공격이 구글 지메일 사용자를 주요 표적으로 삼은 정황이 속속 드러나고 있어 반드시 OTP 등 2차 인증 등의 보안 설정을 유지하고, 비밀번호는 특수 기호와 대소문자를 포함해 복잡하게 구성하고 정기적으로 변경하는 노력이 필요하다.
이스트시큐리티 문종현 이사는 “과거에도 구글 설문지로 가장한 위협 사례가 전혀 없던 것은 아니지만, 이번처럼 정교한 수법으로 구글 피싱 공격까지 쓰인 것은 보기 드문 경우다”며, “금년 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 계속 높게 유지되는 추세다”며 철저한 보안 주의를 당부했다.
이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다.
| |
| |
| |
| |
|
관련뉴스 | - 관련뉴스가 없습니다. |