[디지털데일리 이종현기자] 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 것처럼 위장한 해킹 공격이 발견됐다. 배후로 지목된 것은 북한이다.
12일 사이버보안 기업 이스트시큐리티는 ‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’이라고 위장한 지능형지속위협(APT) 공격이 잇따라 발견되는 중이라고 밝혔다.
공격자는 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집해 피싱 공격에 활용 중인 정황도 포착됐다. 이때 공격 대상자의 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 피싱 사이트를 치밀하게 구축했다는 설명이다.
피싱 사이트는 정상 사이트로 오인하도록 유사하게 만들었다. 현재까지 확인된 피싱 주소들은 고려대, 경희대, 경남대, 이화여대, 서강대 등이다.
최근 논문이나 학술지 심사를 위장한 피싱 공격 수법이 성행해 알려진 가운데 공격자는 공격 성공률을 높이기 위해 단계별 신뢰 기반 전략을 구사했다. 초반부에 정상 내용으로 자연스럽게 접근하고, 이후 이메일 회신 등 관심을 보이는 대상자를 선별해 악성 파일을 개별 첨부하는 방식이다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 해당 공격을 분석한 결과, 각 대학 피싱 사이트를 통해 로그인 정보가 유출될 경우 해킹 의심을 피하기 위해 정상적인 문서 파일이 내려오도록 구성됐음을 파악했다. 보안 관계 당국과 공조해 피싱 서버를 차단하고 추가 분석을 진행 중이다.
ESRC는 공격에 사용된 피싱 서버의 호스팅 서비스와 악성 DOC 문서의 공격 기법이 기존 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인과 일치한 것으로 분석했다. 이번 위협의 배후를 북한 연계 해킹 조직 소행으로 최종 지목했으며, 한국은 거의 일상적으로 북한 사이버 위협과 직면하고 있다고 부연했다.
이스트시큐리티 ESRC 센터장 문종현 이사는 “대담하게 국내 주요 대학을 모방한 피싱 서버를 구축하고, 항공 및 외교·안보·국방 분야 교수진을 물색해 해킹을 시도할 정도로 북한발 사이버 위협 수위가 고조되고 있어 주의가 필요한 시기”라며 “사례비 지급 명목으로 악성 문서 파일을 전달하고, 이에 속은 피해자가 자신의 민감 개인정보까지 직접 기재해 전달할 경우 주요 정보가 해커에게 고스란히 유출되는 2차 피해로 이어질 수 있다”고 주의를 당부했다.