[보안뉴스 / 10.12.] 논문 심사 사례비 지급으로 위장한 북한發 해킹 공격 발견

항공 및 외교·안보·국방 분야 교수진 대상, 학술지 원고 심사 의뢰로 위장해 접근 시도
실제 심사 논문 및 의견서를 우선 전달해 신뢰하도록 유도…대학 계정 피싱 공격
소정의 사례비 지급 명목의 개인정보 이용 동의서 위장한 악성 워드 파일 공격

[보안뉴스 김경애 기자] ‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’처럼 위장한 APT(지능형지속위협) 공격이 잇따라 포착되고 있어 주의가 필요하다.

▲개인정보 이용 동의서로 위장한 악성 DOC 문서 파일 실행 화면[자료=이스트시큐리티]

12일 이스트시큐리티 측은 “이번 위협 사례는 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식처럼 진행됐으며, 정상 논문 파일과 심사 의견서처럼 위장된 문서가 공격에 활용됐다”고 분석했다.

더불어 공격자가 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집해 피싱 공격에 활용한 정황도 포착됐다. 특히, 공격 대상자의 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 피싱 사이트를 치밀하게 구축했다.

피싱 사이트는 얼핏 볼 때 마치 정상 사이트로 오인하도록 유사하게 만들었으며, 현재까지 확인된 피싱 주소들은 고려대(cloud.kcrea.rf[.]gd), 경희대(files.khu.rf[.]gd)를 포함해 경남대(clouds.kvongnum.rf[.]gd), 이화여대(ewha-cloud.epizy[.]com), 서강대(clouds.sogang.rf[.]gd) 등이다.

▲대학 로그인 사이트로 위장한 피싱 사이트 화면(일부 모자이크 처리)

이와 관련 이스트시큐리티는 “유사한 피해를 예방하기 위해 평상시에도 로그인 사이트 주소가 진짜인지 여부를 꼼꼼히 살펴보는 보안 습관이 매우 중요하다”고 당부했다.

북한 추적 전문 연구그룹인 이슈메이커스랩은 “지난 5년간 대학교 교수 및 연구원들을 타깃으로 한 북한의 공격이 꾸준히 증가하고 있다”며 “특히, 정부기관의 자문위원으로 활동하는 교수들과 국가 핵심 과제를 수행하는 교수 및 연구원들을 대상으로 스피어피싱 공격을 하고 있다. 해당 피해자 대학의 웹메일 사이트와 동일한 피싱 사이트를 만들어서 로그인하도록 유도해 계정정보를 탈취하는 시도가 계속 되고 있으니 본인 대학 사이트라도 로그인 시에 주소를 한번 더 확인하는 등 주의가 필요하다”고 강조했다.

익명을 요청한 악성코드 분석가는 “공격 대상에 대한 맞춤형 공격을 진행하고 있으므로 메일을 받았을 때는 보낸 사람을 잘 확인해봐야한다”며 “급하다보면 그냥 클릭하거나 습관적으로 클릭하는 경우가 있는데 이러한 피싱은 잘 확인하는 게 중요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>