국립외교원 구글 설문지로 위장한 北 연계 해킹 공격 등장!

 

 

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

‘2022 외교안보연구소(IFANS) 국제문제회의’ 초대장 처럼 위장한 북한 연계 해킹 공격이 발견되어 관련자 여러분들의 각별한 주의가 필요합니다. 

 

이번 공격은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최가 예정되어 있는 국제문제회의 행사에 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장하고 있으며, 이들로 하여금 구글 설문지를 작성하도록 유도하여 정보 탈취를 시도하는 공격 기법을 사용하였습니다. 
 

 

[그림 1] 국립외교원 국제문제회의 초대로 위장한 피싱 모습

 

 

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회입니다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물 내 초청장 이미지를 도용해 공격에 사용하였습니다. 

 

 

[그림 2] 구글 설문지로 위장한 피싱 사이트 모습

 

 

이렇게 도용된 초청장 이미지는 피싱 링크가 포함된 형태로 메일 본문에 첨부되어 발송되었으며, 이미지 클릭 시 피싱 사이트로 연결됩니다. 피싱 사이트는 구글 설문지를 위장하고 있지만, 도메인이 ‘docxooqle.epizy[.]com’ 주소로 되어있어 주소창을 자세히 살펴보면 구글처럼 위장하고 있는 가짜 사이트라는 것을 쉽게 인지할 수 있습니다.

 

 

[그림 3] 구글 계정 로그인 화면으로 위장된 피싱 화면

 

 

공격자는 설문지 작성 항목에 성명, 소속, 직위, 이메일, 연락처 등의 개인정보 입력을 유도하여 1차 정보 탈취를 시도합니다. 정보 입력 완료 후 설문 작성 등록을 누르면  ‘accounts.qocple.epizy[.]com’ 의 구글 로그인 페이지를 위장한 피싱 페이지로 이동시켜 지메일 비밀번호의 추가 탈취를 시도합니다. 

 

단계별 공격을 통하여 개인정보 및 구글 계정정보 탈취를 시도하며, 이렇게 유출된 개인정보는 추가 공격에 활용되어 연쇄적 해킹 피해로 이어질 수 있어 사용자들의 각별한 주의가 필요합니다. 

 

이번 공격에 사용된 ‘epizy[.]com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스로, 최근 북한 정찰총국 연계 해킹 조직인  '페이크 스트라이커(Fake Striker)' 위협 캠페인에 잇따라 등장하고 있습니다.

 

또한 2차로 구글 계정정보 탈취를 시도하는 구글 로그인 피싱 페이지를 한글이 아닌 영문으로 제작하였는데, 이는 평소 영문 서비스에 친숙한 인물을 공격 타겟으로 했을 가능성이 높은 것으로 추정되는 대목입니다. 

 

이러한 피싱 공격을 예방하려면 웹 페이지 접속 시 주소창의 웹사이트 주소를 꼼꼼히 살펴야 하며, 사이트별 계정의 비밀번호를 다르게 설정해야 합니다. 또한 비밀번호의 주기적인 변경 뿐만 아니라, 자주 사용하는 계정의 경우 2단계 인증을 통하여 혹시 모를 계정정보 유출에 대비해야 합니다. 

 

과거에도 구글 설문지로 위장한 공격이 진행되었지만, 이번처럼 정교한 수법으로 구글 계정 탈취 까지 시도한 공격은 보기 드문 경우입니다. 북한이 소행으로 지목된 공격이 지속되고 있는 만큼 외교·안보·국방 분야별 전문가들의 각별한 주의가 요구됩니다. 

 

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.