보안

이스트시큐리티, 국립외교원 구글 설문지로 둔갑한 北 연계 해킹 공격 등장

편집부 | ITWorld 2022.10.26
이스트시큐리티는 마치 ‘2022 외교안보연구소(IFANS) 국제문제회의’ 초청 글처럼 위장한 북한 연계 해킹 공격이 등장했다며, 각별한 주의를 당부했다.
 

이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최 예정인 실제 행사를 미끼로 활용했고, 외교·안보·국방 분야 전문가를 초대하는 것처럼 현혹해 구글 설문지를 작성하도록 유도하는 흥미로운 공격 수법이 쓰였다. 

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다.

초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보여지는 것이 마치 구글 설문지 포맷처럼 보이는데, 연결된 곳은 ‘docxooqle.epizy[.]com’ 주소이다. 웹 사이트를 자세히 살펴보면 구글처럼 위장된 가짜 사이트라는 것을 인지할 수 있다.
 

이스트시큐리티 시큐리티대응센터(이하 ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과, 공격자는 실제 구글 설문지 포맷을 교묘하게 모방해 공격에 활용했다.

특히, 설문지 작성 항목을 고려해 피해 대상자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 1차 정보 탈취를 시도한다. 그 이후 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 이어간다.

이로 인해 주요 개인정보 및 구글 계정 비밀번호 유출까지 연쇄적 해킹 피해로 이어질 수 있어 세심한 주의가 필요하고, 평상시 접속하는 사이트가 공식 주소인지 꼼꼼히 살펴보는 보안 습관이 요구된다.
 

여기서 복수로 발견된 ‘epizy[.]com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스이며 최근 북한 연계 해킹 사건에서 공통적으로 발견되고 있다. 이는 일명 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인으로 잇따라 등장하고 있다.

ESRC는 상대적으로 개인정보 탈취를 쉽게 구성한 1차 구글 설문지 피싱 수법과 2차 피싱을 위한 구글 로그인 화면에 한글이 아닌 영문으로 구성한 점에 주목했다. 피해 대상자들이 평소 영문 서비스에 친숙한 인물일 가능성이 높은 대목이다.

한편, 이번 공격이 구글 지메일 사용자를 주요 표적으로 삼은 정황이 속속 드러나고 있어 반드시 OTP 등 2차 인증 등의 보안 설정을 유지하고, 비밀번호는 특수 기호와 대소문자를 포함해 복잡하게 구성하고 정기적으로 변경하는 노력이 필요하다.

이스트시큐리티 문종현 이사는 “과거에도 구글 설문지로 가장한 위협 사례가 전혀 없던 것은 아니지만, 이번처럼 정교한 수법으로 구글 피싱 공격까지 쓰인 것은 보기 드문 경우”라며, “올해 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 계속 높게 유지되는 추세”라고 말했다. 
editor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.