'논문심사 사례비 지급 위장' 북한發 해킹 공격 등장

주요 대학 모방 피싱 서버 구축…피싱 공격에 현직 교수 및 출신 대학 공식 메일 활용

컴퓨팅입력 :2022/10/12 17:30

보안 기업 이스트시큐리티는 최근 논문심사를 의뢰하는 형식으로 해킹이 발생하고 있어 각별한 주의가 필요하다고 12일 밝혔다.

이스트시큐리티에 따르면 ‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’처럼 위장한 지능형지속위협(APT) 공격이 잇따라 등장하고 있다.

이번 위협 사례는 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식처럼 진행됐으며, 정상 논문 파일과 심사 의견서처럼 위장된 문서가 공격에 활용된 것으로 드러났다.

개인정보 이용 동의서로 위장한 악성 DOC 문서 파일 실행 화면(자료제공=이스트시큐리티)

더불어 공격자는 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집해 피싱 공격에 활용 중인 정황도 포착됐다. 이때 공격 대상자의 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 피싱 사이트를 치밀하게 구축한 점도 주목된다.

특히, 피싱 사이트는 얼핏 볼 때 마치 정상 사이트로 오인하도록 유사하게 만들었다. 현재까지 확인된 피싱 주소들은 ▲고려대(cloud.kcrea.rf[.]gd) ▲경희대(files.khu.rf[.]gd) ▲경남대(clouds.kvongnum.rf[.]gd) ▲이화여대(ewha-cloud.epizy[.]com) ▲서강대(clouds.sogang.rf[.]gd) 등이다.

이와 유사한 피해를 예방하기 위해 평상시에도 로그인 사이트 주소가 진짜인지 여부를 꼼꼼히 살펴보는 보안 습관이 매우 중요하다고 회사는 설명했다.

대학 로그인 사이트로 위장한 피싱 사이트 화면(일부 모자이크 처리)(자료제공=이스트시큐리티)

회사에 따르면 최근 논문이나 학술지 심사를 위장한 피싱 공격 수법이 성행해 나름 알려진 편이라, 공격자는 공격 성공률을 높이기 위해 단계별 신뢰 기반 전략을 적절히 구사했다. 구체적으로는 초반부에 정상 내용으로 자연스럽게 접근하고, 이후 이메일 회신 등 관심을 보이는 대상자를 선별해 악성 파일을 개별 첨부한다. 이때, 일정 기간 시차 간격을 두고 후속 공격을 수행하는 여유와 치밀함도 보였다.

이스트시큐리티 시큐리티대응센터(ESRC)는 해당 공격을 분석한 결과, 각 대학 피싱 사이트를 통해 로그인 정보가 유출될 경우 해킹 의심을 피하기 위해 정상적인 문서 파일이 내려오도록 구성된 사실을 밝혀냈다. 현재 보안 관계 당국과 긴밀히 공조해 피싱 서버를 신속히 차단함과 동시에 추가 분석을 면밀히 진행 중이다.

ESRC는 공격에 사용된 피싱 서버의 호스팅 서비스와 악성 DOC 문서의 공격 기법이 기존 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인과 일치한 것으로 분석하고 이번 위협의 배후를 북한 연계 해킹 조직 소행으로 최종 지목했다. 이어 한국은 거의 일상적으로 북한 사이버 위협과 직면하고 있다고 해도 과언이 아닐 정도로 다양한 위협들이 발생하고 있다고 추가 설명했다.

한편, 교수 출신 고위 공직자들도 이런 해킹 표적에 연쇄적으로 노출될 우려가 있으므로, 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다. 특히, MS오피스 문서파일 열람 시 [콘텐츠 사용] 버튼을 허용하는 것은 매우 위험할 수 있다.

관련기사

이스트시큐리티 ESRC 센터장 문종현 이사는 "대담하게 국내 주요 대학을 모방한 피싱 서버를 구축하고, 항공 및 외교·안보·국방 분야 교수진을 물색해 해킹을 시도할 정도로 북한發 사이버 위협 수위가 고조되고 있어 주의가 필요한 시기"라며 "사례비 지급 명목으로 악성 문서 파일을 전달하고, 이에 속은 피해자가 자신의 민감 개인정보까지 직접 기재해 전달할 경우 주요 정보가 해커에게 고스란히 유출되는 2차 피해로 이어질 수 있다"며 철저한 보안 주의를 당부했다.

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다.