2021.06.25

이스트시큐리티, 통일부 사칭한 이메일 공격 발견…“북한 연계 ‘탈륨’ 해킹 공격 주의보”

편집부 | CIO KR
이스트시큐리티가 북한 연계 해킹 조직 소행으로 추정되는 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있다며, 각별한 보안 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 APT 공격은 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 해킹 조직의 소행으로 추정되며, ▲통일부를 사칭한 이메일 공격과 ▲통일연구원을 사칭한 이메일 해킹 공격 유형 등이 발견되고 있다.



통일부를 사칭한 공격은 지난 6월 22일, 통일연구원을 사칭한 공격은 24일 각각 포착됐다. 이들 공격은 거의 동일한 시기에 수행되었으며, ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 내용으로 메일 수신자를 현혹하는 공통점이 있다. 

또한, 메일 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록, 각 발신지 주소를 실제 통일부(analysis@unikorea.go.kr)와 통일연구원(mail@kinu.or.kr)의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했다.

ESRC의 분석 결과 이번에 발견된 공격은 이메일에 첨부된 악성 문서 파일을 열어보도록 유도하는 전형적인 첨부파일 유형의 공격처럼 보이지만, 실제로는 첨부 파일이 아니라 악성 URL 링크를 삽입해 포털 계정을 탈취할 목적의 공격인 것으로 확인됐다. 이는 별도의 악성 파일을 사용하지 않아, 백신 등 보안 솔루션의 위협 탐지를 회피하기 위한 목적으로 예상된다.

공격자가 발송한 이메일 본문에는 마치 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면이 사용됐고, HWP나 PDF 문서 전문이 첨부된 것처럼 화면을 보여주며 클릭을 유도한다. 

만약, 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 화면을 먼저 보여준다. 

이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 전송돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 공격자가 자신의 계정을 도용해 주변 지인에게 접근을 시도하는 등 2차 가해자로 전락할 우려도 있다. 

ESRC 관계자는 “사용자가 이메일 계정정보를 입력하면 정보를 유출하는 동시에 정상적인 문서를 보여줘, 정보 유출을 인지하지 못하도록 하는 속임수를 사용하고 있다”라며, “보여지는 문서가 공식 사이트에 등록된 상태인지 꼼꼼히 살펴보고 현혹되지 않도록 세심한 주의가 필요하다”라고 밝혔다.

한편, ESRC가 이메일 발송지를 역추적한 결과 두 공격 사례에 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황이 포착됐으며, 조사 결과 오랜 기간 이 서버가 공격 거점으로 악용된 점이 확인됐다. ciokr@idg.co.kr



2021.06.25

이스트시큐리티, 통일부 사칭한 이메일 공격 발견…“북한 연계 ‘탈륨’ 해킹 공격 주의보”

편집부 | CIO KR
이스트시큐리티가 북한 연계 해킹 조직 소행으로 추정되는 APT(지능형지속위협) 공격이 국내에서 연이어 발견되고 있다며, 각별한 보안 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 APT 공격은 ‘탈륨’ 또는 ‘김수키’ 등의 이름으로 널리 알려진 해킹 조직의 소행으로 추정되며, ▲통일부를 사칭한 이메일 공격과 ▲통일연구원을 사칭한 이메일 해킹 공격 유형 등이 발견되고 있다.



통일부를 사칭한 공격은 지난 6월 22일, 통일연구원을 사칭한 공격은 24일 각각 포착됐다. 이들 공격은 거의 동일한 시기에 수행되었으며, ‘북한의 당 중앙위원회 제8기 제3차 전원회의 분석’ 내용으로 메일 수신자를 현혹하는 공통점이 있다. 

또한, 메일 수신자들이 해당 이메일을 해킹 공격으로 의심하지 않도록, 각 발신지 주소를 실제 통일부(analysis@unikorea.go.kr)와 통일연구원(mail@kinu.or.kr)의 공식 이메일 주소처럼 정교하게 조작하는 해킹 수법을 사용했다.

ESRC의 분석 결과 이번에 발견된 공격은 이메일에 첨부된 악성 문서 파일을 열어보도록 유도하는 전형적인 첨부파일 유형의 공격처럼 보이지만, 실제로는 첨부 파일이 아니라 악성 URL 링크를 삽입해 포털 계정을 탈취할 목적의 공격인 것으로 확인됐다. 이는 별도의 악성 파일을 사용하지 않아, 백신 등 보안 솔루션의 위협 탐지를 회피하기 위한 목적으로 예상된다.

공격자가 발송한 이메일 본문에는 마치 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면이 사용됐고, HWP나 PDF 문서 전문이 첨부된 것처럼 화면을 보여주며 클릭을 유도한다. 

만약, 해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 로그인 암호 입력을 요구하는 화면을 먼저 보여준다. 

이때 이메일 주소의 암호를 입력하면 공격자에게 암호가 전송돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 공격자가 자신의 계정을 도용해 주변 지인에게 접근을 시도하는 등 2차 가해자로 전락할 우려도 있다. 

ESRC 관계자는 “사용자가 이메일 계정정보를 입력하면 정보를 유출하는 동시에 정상적인 문서를 보여줘, 정보 유출을 인지하지 못하도록 하는 속임수를 사용하고 있다”라며, “보여지는 문서가 공식 사이트에 등록된 상태인지 꼼꼼히 살펴보고 현혹되지 않도록 세심한 주의가 필요하다”라고 밝혔다.

한편, ESRC가 이메일 발송지를 역추적한 결과 두 공격 사례에 모두 servera94.opencom[.]com [121.78.88.94] 서버가 활용된 정황이 포착됐으며, 조사 결과 오랜 기간 이 서버가 공격 거점으로 악용된 점이 확인됐다. ciokr@idg.co.kr

X