“이런 초대장 클릭 마세요”…北 연계 해킹 공격 등장

‘2022 외교안보연구소(IFANS) 국제문제회의’ 초대장 처럼 위장한 북한 연계 해킹 공격이 발견돼 관련자들의 각별한 주의가 필요하다고 26일 보안기업 이스트시큐리티가 당부했다.

설명에 따르면, 이번 공격은 오는 11월 2일 국립외교원 외교안보연구소에서 개최하는 국제문제회의 행사에 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장하고 있다. 이들 전문가에게 구글 설문지를 작성하도록 유도해 정보 탈취를 시도하는 공격 기법이다.

공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올라온 ‘2022 IFANS 국제문제회의 개최’ 게시물 내 초청장 이미지를 도용해 공격에 사용했다.

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로, 국내외 학계 주요인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다.

이렇게 도용된 초청장 이미지는 피싱 링크가 포함된 형태로 메일 본문에 첨부돼 발송됐으며, 이미지 클릭 시 피싱 사이트로 연결된다.

피싱 사이트는 구글 설문지를 위장하고 있지만, 주소창을 자세히 살펴보면 도메인이 ‘docxooqle.epizy.com’ 주소로 되어있어 가짜 사이트라는 것을 인지할 수 있다.

공격자는 설문지 작성 항목에 성명, 소속, 직위, 이메일, 연락처 등의 개인정보 입력을 유도헤 1차 정보 탈취를 시도한다. 정보 입력 완료 후 설문 작성 등록을 누르면 ‘accounts.qocple.epizy.com’의 구글 로그인 페이지를 위장한 피싱 페이지로 이동시켜 지메일 비밀번호의 추가 탈취를 시도한다.

이렇게 유출된 개인정보는 추가 공격에 활용돼 연쇄적 해킹 피해로 이어질 수 있다.

이번 공격에 사용된 ‘epizy.com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스로, 최근 북한 정찰총국 연계 해킹 조직인 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인에 잇따라 등장하고 있다.

또한 2차로 구글 계정정보 탈취를 시도하는 로그인 피싱 페이지는 한글이 아닌 영문으로 제작됐는데, 이는 평소 영문 서비스에 친숙한 인물을 공격 타겟으로 했을 가능성이 높은 것으로 추정된다고 이스트시큐리티는 전했다.

이런 공격을 예방하려면 웹 페이지 접속 시 주소창의 웹사이트 주소를 꼼꼼히 살펴야 하며, 사이트별 계정의 비밀번호를 다르게 설정해야 한다. 또 비밀번호의 주기적인 변경 뿐만 아니라, 자주 사용하는 계정의 경우 2단계 인증을 통해 혹시 모를 계정정보 유출에 대비해야 한다.

이스트시큐리티는 “이번처럼 정교한 수법으로 구글 계정 탈취 까지 시도한 공격은 보기 드문 경우”라며 “북한이 소행으로 지목된 공격이 지속되고 있는 만큼 외교·안보·국방 분야별 전문가들의 각별한 주의가 요구된다”고 당부했다.

그러면서 “유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다”고 밝혔다.