[아이뉴스24 김혜경 기자] 논문 심사 사례비를 지급하는 것처럼 위장한 북한발 지능형지속위협(APT) 공격이 연이어 발견돼 각별한 주의가 요구된다.
![개인정보 이용 동의서로 위장한 악성 DOC 문서 파일 실행 화면. [사진=이스트시큐리티]](https://image.inews24.com/v1/2ba78299b0844d.jpg)
이스트시큐리티는 '미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문'처럼 위장한 이메일 피싱 공격을 포착했다고 12일 발표했다.
이번 위협 사례는 국내 특정 대학 학술지에 투고된 원고 심사를 의뢰하는 형식으로 구성됐다. 정상 논문 파일과 심사 의견서처럼 위장된 문서가 공격에 활용된 것으로 나타났다.
공격자는 현직 교수의 대학 계정 메일이나 개인용 메일 주소를 수집해 피싱 공격에 활용했다. 특히 공격 대상자의 소속 대학별 이메일 로그인 디자인이 다른 것을 고려, 맞춤형 피싱 사이트를 구축하는 치밀함도 보였다.
현재까지 확인된 피싱 주소들은 ▲고려대(cloud.kcrea.rf[.]gd) ▲경희대(files.khu.rf[.]gd) ▲경남대(clouds.kvongnum.rf[.]gd) ▲이화여대(ewha-cloud.epizy[.]com) ▲서강대(clouds.sogang.rf[.]gd) 등이다.
![개인정보 이용 동의서로 위장한 악성 DOC 문서 파일 실행 화면. [사진=이스트시큐리티]](https://image.inews24.com/v1/4aa640162edb8a.jpg)
공격자는 공격 성공률을 높이기 위해 단계별 신뢰 기반 전략을 구사했다. 정상 내용으로 접근한 후, 이메일 회신 등 관심을 보이는 대상자를 선별해 악성 파일을 첨부했다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과 피싱 서버의 호스팅 서비스와 악성 DOC 문서의 공격 기법이 기존 '페이크 스트라이커(Fake Striker)' 위협 캠페인과 일치했다. ESRC는 이번 위협의 배후를 북한 연계 해킹 조직 소행으로 보고 있다.
이스트시큐리티 ESRC 센터장 문종현 이사는 "국내 주요 대학을 모방한 피싱 서버를 구축하고 항공·외교·안보·국방 분야 교수진을 물색해 해킹을 시도할 정도로 북한발 사이버 위협 수위가 고조되고 있다"며 "피해자가 악성 문서 파일에 개인정보까지 직접 기재해 전달할 경우 주요 정보가 해커에게 고스란히 유출되는 2차 피해로 이어질 수 있다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기