해커들은 '동북아 신 지정학과 한국의 옵션.hwp' 문서가 클라우드 첨부파일로 있는 것처럼 화면을 구성했고, 포럼 행사에 발표자로 참석하는 국립외교원 외교안보연구소 교수로 발신자를 사칭했다. 메일 수신자가 첨부파일을 클릭하면 해외에 구축된 피싱 사이트가 나타나며, '클라우드 파일을 다운하시려면 인증이 필요합니다' 라는 안내 메시지를 띄워 포털 이메일 비밀번호 입력을 유도하는 방식이다.
피싱 사이트로 사용된 'kakao[.]cloudfiles[.]epizy[.]com' 주소 속 'epizy[.]com' 도메인은 '인피니티프리'로 알려진 해외 무료 웹 호스팅 서비스 주소로, 북한 연계 피싱 공격 사례에서 지속적으로 발견되고 있다. 유사한 형태로 'naver[.]cloudfiles[.]epizy[.]com' 'snu[.]cloudfiles[.]epizy[.]com' 'korea[.]onedviver[.]epizy[.]com' 'yonsei[.]onedviver[.]epizy[.]com' 등이 발견된 바 있다.
ESRC는 이번 사례 역시 비밀번호 입력 후 특정 구글 드라이브 주소로 변경해 문서를 보여주고 있다고 분석했다. 최근 유사 공격 사례에 이용된 문서들의 마지막 저장 정보에 'kisa'라는 이름이 공통적으로 보이는데, 이런 사례들은 전부 북한 소행으로 지목된 페이크 스트라이커 캠페인과 정확히 일치하고 있다고 ESRC는 설명했다. 현재 공격 의도 등과 관련해 세부 조사를 진행 중이다.
문종현 ESRC 센터장(이사)는 "6월에도 북한 소행으로 지목된 사이버 안보위협은 외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인까지 꾸준히 이어지고 있는 실정"이라며 "특히 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있어 사이버 보안 강화에 더 많은 관심과 투자가 절실하다"고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>