지난 정권과 다르게 정권이 바뀐 뒤로 남북 관계가 이전 같지 않은데요. 최근 6.15 남북공동선언 22주년 통일정책포럼 발제문으로 위장한 피싱 공격이 진행 중이라고 하니 조심하셔야할 것 같습니다. 어렸을 때부터 남북 통일이 되어야한다고 배워왔던 세대로서 이 주제에 대해서는 항상 조심스럽게 접근하고 있었는데, 북한 해커 조직에서 이와 관련하여 피싱 공격이 지속적으로 발견되고 있어서 저도 이런 메일이 오면 별 생각없이 열어볼 것 같은데, 오늘은 이 부분에 대해 말씀드리고자 합니다.
이번 공격의 경우 통일이나 외교, 안보 분야 종사자들을 타겟으로 해서 보낸 것으로 보이는데요. 이번 피싱 메일의 경우 새 정부의 대북통일정책 방향을 언급하고, 남북 평화를 위해 준비된 통일정책포럼 내용을 포함고 있다고 합니다. 실제 해당 포럼은 6월 15일 한국프레스센터에서 개최되었고, 대북 분야 전문가들이 참여하여 토론을 진행했다고 하죠. 또한 이번에는 한글 문서가 클라우드 파일로 첨부되어 있는 것처럼 화면을 구성했고, 외교안보연구소 교수가 보낸 것처럼 사칭하여 조금 더 정교한 피싱 메일을 만든 것으로 보입니다.
만약 수신자가 피싱 메일의 첨부파일을 클릭하게 되면 피싱 사이트로 연결되고 클라우드 파일을 받으려면 인증이 필요하다는 경고창과 함께, 특정 포털의 로그인 페이지와 동일한 피싱 사이트에 이메일과 비밀번호를 입하도록 유도합니다. 아래의 기사에서는 카카오톡 로그인 페이지로 위장한 피싱 사이트를 보여주고 있는데, kakao[.]cloudfiles[.]epizy[.]com과 같이 클라우드 첨부파일 링크라고 생각하고 아무 생각없이 넘길 수 있는 구조입니다.. 하지만 실제로 피싱에 사용된 epizy[.]com 도메인은 해외 무료 웹 호스팅 주소로, 최근 북한에서 공격하고 있는 피싱 메일에서 지속적으로 발견되고 있다고 합니다.
즉, 해당 해외 웹 호스팅 주소 앞에 naver[.]cloudfiles와 같이 국내 포털 회사나 특정 대학교의 도메인을 사칭하면서 외교나 안보, 통일 분야에서 활동하는 교수진의 이메일을 주로 노리고 있는 것으로 보이는데요. 그리고 이러한 공격의 공통점을 보면 피싱 사이트로 유도하여, 사용자가 계정 정보를 입력하면 해킹 여부를 인지하지 못하도록 실제 정상적인 문서를 보여주는 것으로 보입니다. 이렇게 사용자가 해킹을 당했는지 알 수 없도록 시간을 끌면 추가적인 피해를 입을 확률이 더 증가하겠죠. 저번에 말씀드렸던 것처럼 최근 들어 워드 파일이나 한글 문서 기반의 APT 공격이 증가하고 있기 때문에 좀 더 유의하셔야할 것 같습니다.
6·15 남북공동선언 22주년 이슈 악용한 북한 해킹 공격 포착됐다
6·15 남북공동선언이 22주년을 맞는 가운데 실제 개최되는 통일정책포럼 행사를 악용한 북한 해커조직의 사이버 공격이 발견돼 통일·외교·안보 분야 종사자들의 각별한 주의가 요구된다.
www.boannews.com
특히 이번 공격의 경우 위에서 언급했던 것처럼 피싱 사이트에서 사용자 계정을 입력한 직후, 구글 드라이브 주소로 변경해서 보여주는 문서들의 저장 정보에 kisa라는 이름이 공통적으로 사용된다고 합니다. 평소 보안에 많은 관심을 가졌던 분들이라면 kisa가 한국인터넷진흥원을 의미한다는 것을 아실텐데, 최근 북한의 소행으로 지목되는 공격들이 대부분 kisa를 포함한다고 하니 이런 메일을 받으셨다면 메일을 클릭하지 말고 삭제하시길 바랍니다. 오늘은 남북공동선언 이슈를 악용한 북한 공격에 대해 말씀드렸습니다. 그럼 다음 글에서 뵙도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 악성코드 분석 서비스 개인정보 유출 사례 (0) | 2022.07.20 |
|---|---|
| 저작권 위반 메일 사칭한 LockBit 랜섬웨어 사례 (0) | 2022.07.16 |
| OLE 개체 기능 악용한 APT 한글 문서 사례 (0) | 2022.07.06 |
| 애플 M1 프로세서 시스템 권한 탈취 취약점 사례 (0) | 2022.06.26 |
| 개인정보보호법 개정안 핵심 개인정보 전송요구권 (0) | 2022.06.23 |
댓글