최근 혼란스러운 국제 정세를 이용하여 관련 논문 심사 사례비 지급으로 위장한 해킹 공격이 발생하고 있어 사용자의 각별한 주의가 요구 됩니다.

보안 전문업체 ‘이스트 시큐리티’에 따르면 최근 이메일을 통해 ‘미·중 경쟁과 북한의 비대칭 외교전략 심사논문’처럼 위장한 APT 공격이 증가하고 있는 것으로 확인되었습니다.

※ APT 란 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹의 통칭

이번에 발견된 공격은 항공 및 외교·안보·국방 분야 교원을 타깃으로 하여 국내 특정 대학 학술지에 투고된 원고 의 심사를 의뢰하는 형식으로 정상 논문 파일과 심사 의견서처럼 위장된 악성 문서가 공격에 활용 되었습니다.

공격자는 공격 초반에는 정상 내용으로 접근하며, 이후 이메일을 회신하는 등 관심을 보이는 대상자를 선별하여 악성 파일을 개별 첨부하는 방식을 사용합니다. 또한 일정기간 간격을 두고 후속 공격을 수행하는 등 공격 성공률을 높이기 위해 단계별 신뢰 기반 전략을 구사하고 있습니다.

공격자는 관심을 보이는 대상자에 한하여 후속 메일을 발송 피싱 사이트 접속을 유도하고 현직 교수 및 출신 대학의 공식 메일이나 개인용 무료 웹 이메일 주소를 수집하여 대상자의 소속 대학 별 이메일 로그인 부분까지 맞춤형 피싱 사이트를 구성하고 있습니다.

[그림] 대학 로그인 사이트로 위장한 피싱 사이트 화면

현재까지 고려대, 경남대, 이화여대, 서강대 등을 위장한 피싱 사이트가 발견되었으며 이후 공격자는 논문 심사 사례비 지급을 사유로 매크로가 포함된 ‘개인정보 이용 동의서’ 이름의 워드 파일을 전달 합니다.

[그림] 우리 대학 이메일 로그인 사이트 화면

만약 사용자가 ‘콘텐츠 사용’ 기능을 활성화 후 개인정보를 입력하여 회신하게 되면 개인정보 유출과 동시에 워드 파일에 포함된 매크로 코드가 실행되며 추가 악성행위를 시도합니다.

해당 공격에 사용된 피싱 서버의 호스팅 서비스와 공격 기법이 북한 정찰총국 연계 해킹조직인 ‘페이크 스트라이커’ 와 일치하는 것으로 식별되고 있기에 지속적이고 조직적인 공격이 우려 됩니다.

[그림] 개인정보 이용 동의서로 위장한 악성 문서파일 실행화면

이러한 사례비 지급 명목을 위장한 피싱 이메일에 속아 개인정보까지 전달하는 경우 중요 정보가 공격자에게 유출되어 2차 피해가 발생할 수 있기 때문에 발신자가 불분명하거나 의심스러운 이메일에 포함된 링크 접속을 지양하고 반드시 접속 페이지 URL 확인 및 첨부된 문서파일 열람시 [콘텐츠 사용] 기능을 활성화 하지 않아야 합니다.