'6·15' 22주년에…대북정책포럼 자료 위장한 北 해킹 발견

해킹 공격 이메일과 피싱 사이트 모습. /사진=이스트시큐리티 제공

보안기업 이스트시큐리티는 6·15 남북공동선언 22주년 통일정책포럼 발제문으로 위장한 북한 연계 해킹 공격이 발견됐다고 15일 밝혔다. 실제 이날 한국프레스센터에서 개최되는 공식 행사를 악용한 사례로 이메일 피싱 수법이 활용됐다.

해커들은 '동북아 신 지정학과 한국의 옵션.hwp' 문서가 클라우드 첨부파일로 있는 것처럼 화면을 구성했고, 포럼 행사에 발표자로 참석하는 국립외교원 외교안보연구소 교수로 발신자를 사칭했다. 메일 수신자가 첨부파일을 클릭하면 해외에 구축된 피싱 사이트가 나타나며, '클라우드 파일을 다운하시려면 인증이 필요합니다' 라는 안내 메시지를 띄워 포털 이메일 비밀번호 입력을 유도하는 방식이다.

피싱 사이트로 사용된 'kakao[.]cloudfiles[.]epizy[.]com' 주소 속 'epizy[.]com' 도메인은 '인피니티프리'로 알려진 해외 무료 웹 호스팅 서비스 주소로, 북한 연계 피싱 공격 사례에서 지속적으로 발견되고 있다. 유사한 형태로 'naver[.]cloudfiles[.]epizy[.]com' 'snu[.]cloudfiles[.]epizy[.]com' 'korea[.]onedviver[.]epizy[.]com' 'yonsei[.]onedviver[.]epizy[.]com' 등이 발견된 바 있다.

피싱 공격 후 보이는 정상 문서 화면. /사진=이스트시큐리티 제공

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 따르면 해외 무료 웹 호스팅을 악용한 공격은 이미 수년 전부터 벌어지고 있다. 주로 북한이 연계된 '페이크 스트라이커' 위협 캠페인에서 발견되며 인피니티프리 외에도 다양한 도메인 주소를 제공하는 '웹프리호스팅'이라는 해외 서비스도 번갈아가며 사용 중인 것으로 확인됐다. 이러한 수법은 비밀번호 유출 직후 실제 정상적인 문서를 보여주기 때문에 피해자는 자신의 해킹 여부를 쉽게 인지하기 어렵다.

ESRC는 이번 사례 역시 비밀번호 입력 후 특정 구글 드라이브 주소로 변경해 문서를 보여주고 있다고 분석했다. 최근 유사 공격 사례에 이용된 문서들의 마지막 저장 정보에 'kisa'라는 이름이 공통적으로 보이는데, 이런 사례들은 전부 북한 소행으로 지목된 페이크 스트라이커 캠페인과 정확히 일치하고 있다고 ESRC는 설명했다. 현재 공격 의도 등과 관련해 세부 조사를 진행 중이다.

문종현 ESRC 센터장(이사)는 "6월에도 북한 소행으로 지목된 사이버 안보위협은 외교·안보·통일·국방 분야를 넘어 특정 분야에 종사하는 민간인까지 꾸준히 이어지고 있는 실정"이라며 "특히 안드로이드 기반 스마트폰 이용자를 노린 북한 배후 모바일 공격까지 보고되고 있어 사이버 보안 강화에 더 많은 관심과 투자가 절실하다"고 말했다.