국립외교원 2022 IFANS 국제문제회의 초대장으로 관심 유발...구글 계정 탈취 공격
외교·안보·국방 분야 전문가 겨냥, 구글 설문지로 위장해 접근하는 새로운 유형
다음 달 2일 실제 개최 예정인 외교안보 전략 주제 교묘히 악용

[보안뉴스 김영명 기자] 최근 국립외교원 외교안보연구소에서 ‘2022 외교안보연구소(IFANS) 국제문제회의’의 모시는 글처럼 위장한 북한 연계 해킹 공격이 등장해 관련된 업무에 종사하는 사람들은 각별한 주의가 필요하다.


이번 공격은 실제로 다음 달 2일 국립외교원 외교안보연구소(IFANS)에서 ‘2022 IFNAS 국제문제회의-글로벌 중추국가의 비전과 외교전략’이라는 이름으로 개최 예정인 행사를 미끼로 활용했으며, 외교·안보·국방 분야 전문가를 초대하는 것처럼 현혹해 구글 설문지를 작성하도록 유도하는 흥미로운 공격 수법이 쓰였다.

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석해 외교전략 수립에 기여하는 토론회다. 공격자는 지난 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다.

초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 연결되는 화면은 마치 구글 설문 포맷처럼 보이는데, 실제로 연결된 곳은 ‘docxooqle.epizy[.]com’ 주소다. 웹 사이트를 자세히 살펴보면 구글처럼 위장된 가짜 사이트라는 것을 인지할 수 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과, 공격자는 실제 구글 설문지 포맷을 교묘하게 모방해 공격에 활용했다.


특히, 설문지 작성 항목을 고려해 피해 대상자가 △성명 △소속 △직위 △이메일 △연락처 등 개인정보를 직접 입력하도록 유도해 1차 정보 탈취를 시도한다. 그 이후 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 이어간다.

이러한 수법으로 사용자의 주요 개인정보 및 구글 계정 비밀번호 유출까지 연쇄적 해킹 피해로 이어질 수 있다. 따라서 이메일을 열어보는 데 있어 세심한 주의가 필요하고, 평상시 접속하는 사이트가 공식 주소인지 꼼꼼히 살펴보는 보안 습관이 요구된다.

이번에 복수로 발견된 ‘epizy[.]com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스이며 최근 북한 연계 해킹 사건에서 공통으로 발견되고 있다. 이는 일명 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인으로 잇따라 등장하고 있다.

ESRC는 상대적으로 개인정보 탈취를 쉽게 구성한 1차 구글 설문지 피싱 수법과 2차 피싱을 위한 구글 로그인 화면에 한글이 아닌 영문으로 구성한 점에 주목했다. 피해 대상자들이 평소 영문 서비스에 친숙한 인물일 가능성이 높은 대목이다.

한편, 이번 공격이 구글 지메일 사용자를 주요 표적으로 삼은 정황이 속속 드러나고 있어 반드시 OTP 등 2차 인증 등의 보안 설정을 유지하고, 비밀번호는 특수 기호와 대소문자를 포함해 복잡하게 구성하고 정기적으로 변경하는 노력이 필요하다.

문종현 이스트시큐리티 이사는 “과거에도 구글 설문지로 가장한 위협 사례가 전혀 없던 것은 아니지만, 이번 행위와 같이 정교한 수법으로 구글 피싱 공격까지 쓰인 것은 보기 드물다”며 “올해 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 계속 높게 유지되는 추세”라고 철저한 보안 주의를 당부했다.

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>