'통일정책포럼 발제문 위장' 北 연계 해킹 공격 포착

[아이뉴스24 김혜경 기자] '6·15 남북공동선언 22주년 통일정책포럼 발제문'처럼 위장한 해킹 공격이 발견돼 각별한 주의가 요구된다.

이스트시큐리티는 실제 개최되는 정책포럼 관련 내용처럼 위장한 북한 연계 공격을 포착했다고 15일 발표했다. 해당 포럼은 이날 새 정부의 대북통일정책 방향을 진단하기 위해 열리며, 외교·안보·통일‧대북 분야 전문가들이 발표와 토론자로 참여할 예정이다.

이번 공격에는 전형적인 이메일 피싱 수법이 활용됐다. 공격자는 '동북아 신 지정학과 한국의 옵션.hwp' 문서가 첨부된 것처럼 화면을 구성했고, 포럼에 발표자로 참석하는 국립외교원 외교안보연구소 교수가 발송한 것처럼 사칭했다.

수신자가 해당 첨부파일을 클릭하면 해외에 구축된 피싱 사이트로 연결된다. '클라우드 파일을 다운하시려면 인증이 필요합니다'는 안내 메시지를 띄운 후 포털 이메일과 비밀번호를 입력하도록 유도하는 방식이다.

피싱 사이트로 사용된 'kakao[.]cloudfiles[.]epizy[.]com' 주소에는 'epizy[.]com' 도메인이 사용됐다. 이는 '인피니티프리'로 알려진 해외 무료 웹 호스팅 서비스 주소로 북한 연계 피싱 공격 사례에서 지속 발견되고 있다.

이번 피싱 주소와 유사한 형태로는 ▲naver[.]cloudfiles[.]epizy[.]com ▲snu[.]cloudfiles[.]epizy[.]com ▲korea[.]onedviver[.]epizy[.]com ▲yonsei[.]onedviver[.]epizy[.]com 등이 발견된 바 있다. 주로 국내 포털 회사나 특정 대학교의 도메인처럼 사칭한 것이 대표적이다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해외 무료 웹 호스팅을 악용한 공격은 이미 수년 전부터 지속적으로 포착되고 있다. 주로 북한이 연계된 '페이크 스트라이커' 위협 캠페인에서 발견된다. 이들은 인피니티프리 외에도 다양한 도메인을 제공하는 '웹프리호스팅'도 사용하고 있다.

이 같은 공격의 공통점은 비밀번호 유출 직후 정상적인 문서를 보여준다는 점이다. 이번 공격도 비밀번호 입력 이후 특정 구글 드라이브 주소로 변경해 문서를 보여준다.

특히 최근 발견된 악성·정상 문서들의 마지막 저장 정보에는 '키사(kisa)' 이름이 공통으로 사용됐다. 분석 결과 해당 이름이 사용된 여러 위협 사례들이 페이크 스트라이커 캠페인과 일치하는 것으로 나타났다. ESRC는 해당 사안에 대해 면밀하게 들여다보고 있다.

ESRC 센터장 문종현 이사는 "외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인을 대상으로도 북한 연계 사이버 위협이 고조되는 상황"이라며 "최근에는 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있다"고 말했다.