보안 전문 기업 이스트시큐리티(대표 정상원)는 통일부 남북관계 주요일지 2월호 내용처럼 위장한 북한 연계 해킹 공격이 연이어 발견됐다고 18일 밝혔다.
이번 공격은 통일부에서 공식적으로 보낸 남북관계 주요일지처럼 교묘하게 위장한 파일을 첨부한 파일을 대북분야전문가나 종사자를 겨냥해 보내 이메일 계정 탈취를 시도한 것으로 드러났다.
실제 통일부 관련 화면 디자인을 일부 모방해 정상적인 내용처럼 꾸몄고, 본문 하단 부분에 ‘남북관계_주요일지(2022년 2월).hwp’ 파일을 첨부한 것처럼 속여 사용한 것이 특징이다.
이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면 이러한 수법은 이미 지난 2020년부터 작년까지 유사 사례가 다수 포착된 바 있으며, 주로 통일부의 북한 동향이나 통일연구원의 한반도 정세 전망 등 북한 자료와 관련된 내용으로 수신자를 현혹하는 유형이 꾸준히 보고되고 있다.
해킹 공격은 이메일 수신자들이 의심하지 않도록 발신지 주소를 실제 통일부 공식 주소처럼 정교하게 조작하는 수법을 동원했다.
ESRC의 분석 결과에 의하며, 이번에 발견된 공격은 이메일 본문에 첨부된 악성 HWP 문서 파일을 열어보도록 유도하는 전형적인 스피어 피싱 공격처럼 보일 수 있지만, 실제로는 첨부파일이 아닌 악성 URL 주소 링크를 삽입한 포털 계정 정보 탈취 목적의 공격이다.
관련기사
- '불법 윈도 정품인증 툴' 위장한 악성코드 주의보2022.03.17
- 건강검진 결과서로 위장한 악성파일 발견..."北 연계 해킹 추정"2022.03.04
- 북한 해커, '카드 명세서' 위장 악성메일 공격2022.01.13
- 北 해커, '국가 안보 세미나' 위장 악성 문서 유포2021.11.09
만약, 해당 첨부 파일 링크를 클릭하면, 문서가 바로 받아지는 대신 이메일 수신자의 포털 계정 암호 입력 요구 화면이 나타나고, 유효 암호가 입력되면 정상적인 HWP 문서를 보여줘 사용자가 해킹에 노출된 것을 인지하기 어렵게 만든다.
ESRC 센터장 문종현 이사는 "국내 특정 기관이나 민간 분야 서비스처럼 사칭한 북한 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력이 필요한 시기"라며, "특히 북한의 전방위적인 사이버 공세를 대응하기 위해서는 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다"고 당부했다.
