피싱 메일 통해 접속하는 페이지에서 웹 로그인 유도…카카오 계정 ID 자동완성 포맷
대북 관련 언론사 기자 등의 계정정보 확보를 목표로 한 것으로 추정
[보안뉴스 김영명 기자] 최근 카카오의 로그인 페이지를 위장해 특정인의 계정정보를 탈취하려는 정황이 확인됐다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱 메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도했을 것으로 추정된다. 웹페이지에 접속하면 카카오 계정의 ID가 자동 완성돼 노출된다.
![[보안뉴스 / 1.4.] 카카오 로그인 화면으로 위장한 웹페이지 발견... 계정정보 탈취 정황](http://www.boannews.com/media/upFiles2/2023/01/473669419_2216.jpg)
▲카카오 계정의 ID가 완성돼 있는 로그인 위장 화면[자료=안랩 ASEC 분석팀]
카카오메일 계정이 있을 경우 메일 아이디만 입력하면 로그인이 가능한 카카오 로그인페이지의 정상적인 포맷과 동일하게 만들어진다.
![[보안뉴스 / 1.4.] 카카오 로그인 화면으로 위장한 웹페이지 발견... 계정정보 탈취 정황](http://www.boannews.com/media/upFiles2/2023/01/473669419_6699.jpg)
▲정상적인 카카오 웹로그인 화면(카카오 메일이 있을 경우 아이디만 입력 가능한 포맷)[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면, 이러한 포맷을 통해 해당 ID가 ‘kakao.com’ 혹은 ‘hanmail.net’ 메일 계정에 사용됐을 가능성을 고려해보면 자동입력돼 있는 ID와 유관한 무역이나 언론사 또는 대북 관련 인물과 기관을 타깃으로 삼았을 것으로 추정된다.
로그인 화면에서 자동완성돼 있는 일부 계정들에 대해 추정하는 정보는 △a***d : 대학교수 △ya***2 : 방송국 기자 △sh***her : 대북사업 지원단체 등이다.
![[보안뉴스 / 1.4.] 카카오 로그인 화면으로 위장한 웹페이지 발견... 계정정보 탈취 정황](http://www.boannews.com/media/upFiles2/2023/01/473669419_3873.jpg)
▲카카오의 정상 웹 로그인 페이지[자료=안랩 ASEC 분석팀]
로그인 페이지의 URL 주소도 accountskakao로 시작하기 때문에, 웹페이지에 접속하게 되는 사용자는 무심코 비밀번호를 입력할 가능성이 매우 높다.
![[보안뉴스 / 1.4.] 카카오 로그인 화면으로 위장한 웹페이지 발견... 계정정보 탈취 정황](http://www.boannews.com/media/upFiles2/2023/01/473669419_9369.jpg)
▲카카오 로그인 페이지를 위장한 악성 URL[자료=안랩 ASEC 분석팀]
특히, 안랩 ASEC 분석팀이 확보한 로그인 페이지 중 일부 URL은 일정 기간을 두고 사용자의 ID를 변경해 로그인을 유도하는 정황이 확인됐다. 보통 hanmail.net과 동일한 ID를 사용할 가능성을 고려해보면 언론사 기자 계정정보 탈취를 목표로 한 것으로 추정된다. 로그인을 시도하면 공격자가 제작한 서버에 GET메소드를 통해 ID와 PW를 유출한다.
![[보안뉴스 / 1.4.] 카카오 로그인 화면으로 위장한 웹페이지 발견... 계정정보 탈취 정황](http://www.boannews.com/media/upFiles2/2023/01/473669419_6889.jpg)
▲입력한 계정정보를 유출하는 과정[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀 관계자는 “사용자를 속이기 위해 정교하게 제작된 로그인 페이지가 확인된 관계로, 신뢰하지 않는 수신인으로부터 발송된 메일 열람에 특히 주의가 필요하다”며 “또한, 웹서핑 과정에서 기타 애플리케이션과의 연동되는 로그인이 필요한 경우에는 접근한 페이지의 URL이 정상적인 도메인인지 정확한 URL 주소 확인 및 인증서 등을 통해 판단 후 접근할 것을 권고한다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>