국제 NGO를 사칭하며 전문가와 탈북민들을 노린 사이버 공격이 포착됐다. 해킹 조직은 사이트의 외관뿐만 아니라 URL까지도 실제와 똑같이 구현하는 등 한층 고도화된 기법을 사용했다.
지니언스 시큐리티 센터는 1일 홈페이지에 ‘한국 내 대북 분야 종사자를 겨냥한 고도화된 BitB 공격 등장’이라는 제목의 위협보고서를 공개했다.
보고서는 “북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했다”며 “공격자는 국제 비정부단체에서 실제로 진행 중인 ‘지원금 프로그램’ 모집 내용을 교묘히 사칭했다”고 밝혔다.
보고서는 “공격자는 다수의 탈북민 및 대북 단체를 상대로 해당 공격을 수행했다”며 “ 공격 거점으로 사용할 피싱용 도메인과 웹 서버를 직접 구축했고, ‘Browser In The Browser(BitB)’ 공격 기술을 사용했다”고 설명했다.
이어 “BitB 공격에 활용된 위협 지표를 조사하는 과정에서 APT37 공격 인프라와 연결된 고리를 찾았다”면서 “평소 보안에 많은 관심과 경각심이 높은 이용자라도 정교한 피싱 공격에 현혹돼 노출될 가능성이 높은 유형으로 더욱 각별한 주의가 필요하다”고 당부했다.
여기서 BitB 공격은 현재 이용 중인 웹 브라우저 화면상에 새로운 웹 브라우저 팝업 화면처럼 정교하게 디자인한 새 창 화면을 띄우고, 이용자 로그인 정보를 입력하게 유도하는 절묘한 피싱 수법이다.
이때 보이는 팝업창의 URL 주소는 공격자가 구성한 디자인으로 실제 공식 URL 주소를 임의로 삽입할 수 있기 때문에 육안상 정상 웹 사이트 주소와 동일하게 보인다. URL 주소만으로 사실 여부를 판단하기 어려워 더욱 각별한 주의가 필요하다.
피싱 이메일의 경우 발신자 주소가 조작되는 경우가 많아 이를 세심하게 확인하면 보안 사고를 방지할 수 있다. 실제 이번 공격에 사용된 이메일 도메인은 정상 사이트의 도메인 중간에 있는 ‘in’ 단어가 없다.
북한 연계 해킹 조직들은 이 같은 방식을 사용해 관련 단체의 지원금 프로그램뿐만 아니라 뉴스레터, 영어회화프로그램 등 다양한 종류의 피싱 메일을 유포하고 있다.
한편, 통일부 장관을 사칭한 피싱 이메일도 포착됐다.
본보 기자는 지난달 29일 ‘김영호’라는 발신자로부터 ‘통일부조직개편 설명자료 보내드립니다’라는 제목의 이메일을 수신했다.
얼핏, 김영호 통일부 장관이 발송한 것으로 보이지만 발신자 이메일 주소가 조작된 피싱 메일이다. ‘@unikorea.co.kr’은 실제 통일부에서 사용하는 이메일 도메인이 아니다. 통일부는 ‘@unikorea.go.kr’ 또는 ‘@korea.kr’을 사용한다.
전문가에게 분석을 의뢰한 결과, 이메일은 북한 해킹조직으로 알려진 ‘코니’의 공격방식과 유사한 것으로 나타났다. 이메일의 첨부파일은 ‘바로가기’ 확장자를 이용한 악성파일이었다.
악성파일이 실행되면 실제 통일부 대변인실에서 배포한 문서가 나타나며 보이지 않는 곳에서 악성코드가 실행된다. 악성코드는 감염자의 문서 등 각종 정보를 수집해 해커에게 전송한다.
코니는 이번 공격에 서울의 한 육아 지원 센터의 서버를 이용했다. 또 다른 북한 연계 해킹조직인 APT37이 원드라이브를 활용해 악성 파일을 유포한 것과 차이가 있다.
