[디지털데일리 이종현기자] 북한 배후의 해킹 공격을 포착했다. 6·15 남북공동선언 22주년 통일정책포럼 발제문처럼 위장한 해킹 공격이다.
15일 사이버보안 기업 이스트시큐리티는 서울 중구 한국프레스센터에서 개최되는 실제 통일정책포럼 관련 내용을 사칭한 사이버공격을 발견했다고 밝혔다. 새 정부의 대북통일정책 방향을 진단하고 남북 평화를 모색하기 위해 준비된 통일정책포럼 관련 내용처럼 위장됐다는 설명이다.
이번 공격에는 전형적인 이메일 피싱 수법이 활용됐다. ‘동북아 신 지정학과 한국의 옵션.hwp’ 문서가 클라우드 첨부파일로 있는 것처럼 화면을 구성했고, 실제 포럼 행사에 발표자로 참석하는 국립외교원 외교안보연구소 교수가 보낸 것처럼 사칭했다.
만약 수신자가 해당 첨부파일을 클릭하면 해외에 구축된 피싱 사이트가 나타나고, ‘클라우드 파일을 다운하시려면 인증이 필요합니다’라는 안내 메시지를 띄어 피해자로 하여금 의심을 덜 하도록 만든다. 그리고 사용 중인 포털 이메일 비밀번호를 입력하도록 유도한다.
피싱 사이트로 사용된 주소는 얼핏 보기에 포털 클라우드 첨부파일 링크로 무심코 넘길 수 있지만, 자세히 살펴보면 전혀 무관하다. 피싱에 사용된 도메인은 해외 무료 웹 호스팅 서비스 주소로 북한 연계 피싱 공격 사례에서 지속 발견되고 있다.
이번 피싱 주소와 유사한 형태의 공격이 다수 발견된 바 있다. 주로 국내 포털 회사나 특정 대학교의 도메인처럼 사칭한 것이 대표적이다. 대학교 주소처럼 위장한 경우 주로 외교·안보·통일 분야 강단에서 활동하는 교수진의 이메일을 집중 공격 한 것으로 드러났다.
이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 따르면 해외 무료 웹 호스팅을 악용한 공격은 이미 수년 전부터 계속 사용 중이며, 주로 북한이 연계된 ‘페이크 스트라이커’ 위협 캠페인에서 발견된다. 이러한 공격의 최근 공통점은 비밀번호가 유출된 직후 실제 정상적인 문서를 내려보내 준다는 점인데, 그로 인해 피해자는 자신의 해킹 여부를 쉽게 인지하지 못한 채 시간이 갈수록 피해 범위 확대로 이어지고 있다는 것이 ESRC의 설명이다.
ESRC 센터장 문종현 이스트시큐리티 이사는 “6월에도 북한 소행으로 지목된 사이버 안보위협은 외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인까지 꾸준히 이어지고 있다”며 “특히 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있어, 사이버 보안 강화에 더 많은 관심과 투자가 절실하다”고 피력했다.