최근 국내 유명 포털사이트인 네이버의 클라우드 공유 초대 서비스처럼 위장한 해킹 공격이 잇따라 포착됐다.
이스트시큐리티에 따르면 이번 공격은 국내 이용자가 많은 실존 서비스를 교묘하게 사칭해, 주로 대북 분야에 종사하는 전문가나 기자들을 상대로 피싱 공격을 진행하고 있는 것으로 드러났다. 북 연계 해킹 공격이라는 설명이다.
(자료제공=이스트시큐리티)
일례로 마치 ‘북핵개발 역사와 북미관계 발전전망’ 파일을 공유한 것처럼 현혹했으며, 클라우드 공유 초대자를 과거 정부 때 국가정보원 해외·북한 담당 1차장을 지냈던 인물의 이름을 도용하기도 했다.
해킹 공격 메일 본문에는 공유 초대 수락 버튼 클릭을 유도하기 위해, “북한 8차 당대회의 전략노선 및 대남정책 변화 전망을 1건 보내드립니다. 참고하시면 다른 분들께도 도움이 되실 것 같아 이 파일을 공유합니다.”라는 초대 메시지까지 포함해 수신자로 하여금 더욱 신뢰하도록 내용을 조작한 점도 눈에 띈다.
이 메일에서 공유 초대를 수락하면 피싱 서버로 접속돼 이용자의 비밀번호를 탈취하는 것으로 알려졌다.
이와 같은 공격 수법을 분석 중인 이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격 역시 지난 7월 외화벌이 목적으로 알려진 '써미츠 NFT 보상 사칭 해킹' 사건과 상반기부터 지속 발견 중인 '건강검진 결과 증명서 발급으로 위장한 해킹 공격' 등의 연장선이라 밝히면서, 주요 침해 지표(IoC)와 위협 전략까지 종합적으로 분석한 결과 이른바 'KGH'로 분류된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 지목됐다고 설명했다.
한편 이번 해킹 공격을 한 조직은 지난 7월에도 국내 특정 신용카드사와 금융정보보호 서비스가 제공하는 스마트 신용 서비스의 본인인증 발생 안내 메일처럼 사칭한 공격에도 가담한 것으로 드러났다.
