보안기업 이스트시큐리티는 국립외교원 외교안보연구소(IFANS) 행사 초대장으로 위장한 북한발 해킹 공격이 포착됐다고 26일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 이 해킹 공격은 이메일 본문의 초청장 이미지를 누르면 가짜 설문지로 연결되는 방식이다. 내달 2일 외교안보연구소가 실제로 개최할 예정인 행사의 참가 신청을 받는 것처럼 꾸민 구글 문서 설문지를 활용했다.

이메일에는 “국립외교원 외교안보연구소는 11월 2일 ‘2022 IFANS 국제문제회의’를 개최한다”며 “복합적인 도전과제에 직면한 상황 속에서 지역의 평화와 안전을 도모하기 위한 창의적인 해결방안과 이를 실현하기 위한 한국의 역할을 논의하는 장이 될 것으로 기대한다” 등의 내용이 담겼다. 하단에는 영문으로 번역된 버전도 있다.

 

참가 신청을 받는 것처럼 꾸민 설문지에는 실제로 외교부가 지난 21일 공지한 이미지가 첨부되어 있다. 설문지에는 성명, 소속, 직위, 연락처 등의 개인정보를 요구하는 칸이 나열되어 있다. 이 모든 사이트 주소는 실제 구글 문서 웹사이트 주소인 ‘docs.google.com’가 아닌 ‘docxooqle.epizy.com’으로 되어 있다.

여기서 개인정보를 입력하고 ‘설문 등록’을 누르면 구글 로그인 페이지로 위장한 피싱 페이지가 한 번 더 나온다. 지메일 아이디 및 비밀번호를 추가 탈취하기 위한 것으로 보인다. 이 사이트 주소는 ‘accounts.qocple.epizy.com’으로 나타난다.

 

ESRC는 “이번 공격에 사용된 ‘epizy.com’ 도메인은 ‘인피니티 프리’라는 해외 무료 웹 호스팅 서비스를 이용한 것으로, 최근 북한과 연계된 해킹 사건에서 공통적으로 발견되고 있다”고 설명했다. 이어 “이번 공격은 구글 지메일 사용자를 주요 표적으로 삼은 것으로 보인다”며 “반드시 일회용 비밀번호 생성기(OTP) 등 2차 인증을 써야 한다”고 당부했다. 또 비밀번호는 특수 기호와 대소문자를 포함해 복잡하게 만들고 정기적으로 바꿔야 한다고 강조했다.

현재 ESRC는 피해 확산 방지를 위해 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀히 협력해 대응하고 있다고 밝혔다. ESRC는 “과거에도 구글 설문지로 가장한 공격이 진행됐지만, 이번처럼 정교한 수법으로 구글 계정 탈취까지 시도한 공격은 보기 드물다”며 “북한 소행으로 지목된 공격이 지속되고 있는 만큼 외교, 안보, 국방 등 분야별 전문가들의 각별한 주의가 요구된다”고 했다.