카카오 업데이트 파일을 사칭한 스미싱 메일 공격 등 최근 북한의 사이버 위협이 계속되는 가운데 이번에는 구글 로그인 화면으로 위장한 악성코드 공격이 또 발견됐다. 이번 사이버 공격은 실제 개최될 예정인 국립외교원(IFANS) 회의에 초청하는 것처럼 속였다.

보안 전문기업 이스트시큐리티는 26일 ‘2022 외교안보연구소 국제문제회의’에 모시는 글로 위장한 북한 연계 해킹공격이 포착됐다며 각별한 주의를 당부했다.

이번 공격은 다음달 2일 국립외교원 외교안보연구소에서 실제 개최할 예정인 국제문제회의를 미끼로 썼다. 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장해 구글 설문지를 작성하도록 유도하는 공격 수법이 쓰였다.

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼이다. 국내외 학계 주요 인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회다. 공격자는 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다.

초청장 이미지는 피싱 공격용 이메일 본문에 포함해 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보이는 주소는 ‘docxooqle.epizy[.]com’이다. 이 사이트는 마치 구글 설문지 양식처럼 보이지만, 구글처럼 위장된 가짜 사이트다.

이스트시큐리티 시큐리티대응센터(ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과 공격자는 실제 구글 설문지 양식을 교묘하게 모방해 공격에 활용했다.

사이트는 이용자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 정보 탈취를 시도한다. 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취로 이어간다.

여기서 복수로 발견된 ‘epizy[.]com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스다. 최근 북한 해커조직으로 추정되는 사이버 공격 사건에서 공통적으로 발견되고 있다.

문종현 이스트시큐리티 이사는 “과거에도 구글 설문지로 가장한 위협 사례가 전혀 없던 것은 아니지만, 이번처럼 정교한 수법으로 구글 피싱 공격까지 쓰인 것은 보기 드문 사례”라며 “올 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 계속 높게 유지되는 추세”라며 주의를 당부했다.

[서울=뉴시스]