통합 보안 기업 이스트시큐리티는 20일 외교·안보·국방 및 대북 분야에 종사하는 전문가들 상대로 마치 자문요청이나 참고자료처럼 가장해 해킹을 시도하는 사이버 위협 활동이 꾸준히 포착되고 있다며 각별한 주의를 당부했다.
해당 피싱 공격은 보통 이메일로 시작되는데 정치외교 전공 대학교수나 싱크탱크 연구원, 대북 분야 협회나 단체에 소속된 인물, 평화통일 유관 업무 공무원 등 분야별 전문가를 다양하게 사칭해 접근하고 있는 것으로 드러났다.
이스트시큐리티에 따르면 해커는 마치 공신력 있는 기관 또는 단체에 소속된 관계자가 발송한 것처럼 이메일 문구를 조작해 해킹을 시도했다. 발견된 여러 피싱 사이트 화면들은 대체로 비슷했다.
공격자는 이메일의 첨부파일 다운로드 영역을 조작해, 클릭 시 피싱 사이트로 연결되도록 만들고 ‘대용량 파일 다운로드’ 주소처럼 교묘하게 꾸민 피싱 사이트를 보여주는 것으로 분석됐다. 그 다음 보안상 본인인증 용도로 암호 입력이 필요하거나, 다운로드 기한이 있다는 식으로 현혹해 [다운로드] 링크에 접근하도록 유인하는 것으로 밝혀졌다.
이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면, 이용자가 만약 [다운로드] 주소를 클릭하면 암호 입력을 요구하는 가짜 로그인 창이 나타나 계정 탈취 해킹을 시도하거나, 또는 실제 악성 코드가 삽입된 MS Word DOC 문서 파일 등이 받아지는 등 공격자 의도에 따라 달라지는 것으로 분석됐다.
ESRC에 따르면, 특정 연구원의 질문지 답변에 따른 소정의 사례비 지급 명목으로 DOC 서식 파일을 보내 열람을 유도하는 형태의 공격이 진행 중인 것으로 드러났다. 악성 문서는 12월 15일까지 서식을 작성하도록 현혹했으며, 30만원의 사례비로 유인해 해킹을 시도했다.
처음 악성 DOC 문서 파일이 실행되면, [콘텐츠 불러오기 오류 발생]라는 가짜 오류 메시지를 보여주고 MS오피스의 보안 설정으로 악성 매크로가 차단된 것을 우회하기 위해 [콘텐츠 사용] 버튼 클릭을 유도한다.
회사는 이때 [콘텐츠 사용] 버튼을 누르면 악성 명령이 작동하기 때문에 절대로 버튼을 누르지 말아야 한다고 당부했다.
관련기사
- "북한 사이버 스파이, 외교·군사·금융·제약 노린다"2022.12.13
- "국가 배후 해킹 조직의 사이버 안보 위협 늘어난다"2022.12.12
- '외교안보 학술회의' 사칭 北 연계 해킹 공격 주의2022.12.02
- 전 세계 보안 위기, 오픈SSL 치명적 취약점 발견2022.10.31
이스트시큐리티 ESRC 센터장 문종현 이사는 “북한 배후로 지목된 공격은 연말에도 계속 전개 중이며, 사이버 안보 위협 수위와 공세는 갈수록 거세지는 추세다”라며 “특히, 최근 공격에는 한국의 특정 웹 서버들이 거점으로 악용되고 있으며, 국내 웹 게시판을 쓰는 공통점이 보여 신규 취약점 악용 여부 등 추가 조사를 진행 중이다”라고 말했다.
이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약 제품에 긴급 업데이트했으며, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 밝혔다.
