현직 교수·출신 대학 개인메일로 피해자에게 논문·학술지 심사 내용으로 접근
[데이터넷] 정상 메일로 위장한 악성메일 공격 수법이 알려지면서 공격 성공률이 낮아지자, 공격자들이 타깃 피해자에게 단계별로 신뢰를 쌓은 후 공격을 진행하는 정황이 발견됐다.
이스트시큐리티 시큐리티 대응센터(ESRC)에 따르면 최근 공격자들은 현직 교수, 출신 대학의 공식 메일, 개인용 무료 웹메일 주소를 이용해 타깃 사용자에게 논문, 학술지 심사 관련 내용으로 위장한 메일로 접근한다.
초반에는 정상 내용으로 자연스럽게 접근하며, 이 메일에 회신하면서 관심을 보이는 피해자에게 악성 메일을 보내며, 일정 시간을 두고 후속공격을 진행하면서 피해자를 속인다.
ESRC가 발견한 이 같은 위협 사례는 ‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’으로 위장한 것이었으며, 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 것처럼 꾸몄으며, 정상 논문 파일과 심사 의견서로 위장된 문서를 활용했다.
공격자는 피해자의 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 피싱 사이트를 치밀하게 구축했다.
피싱 사이트는 정상 사이트와 유사하게 만들었는데, 현재까지 확인된 피싱 주소는 고려대(cloud.kcrea.rf[.]gd), 경희대(files.khu.rf[.]gd), 경남대(clouds.kvongnum.rf[.]gd), 이화여대(ewha-cloud.epizy[.]com), 서강대(clouds.sogang.rf[.]gd) 등이다.
따라서 이와 유사한 피해를 예방하기 위해 평상시에도 로그인 사이트 주소가 진짜인지 여부를 꼼꼼히 살펴보는 보안 습관이 매우 중요하다.
또한 교수 출신 고위 공직자들도 이런 해킹 표적에 연쇄적으로 노출될 우려가 있으므로, 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다. 특히 MS오피스 문서파일 열람 시 [콘텐츠 사용] 버튼을 허용하는 것은 매우 위험할 수 있다는 점을 기억해야 한다.
한편 ESRC는 각 대학 피싱 사이트를 통해 로그인 정보가 유출될 경우 해킹 의심을 피하기 위해 정상적인 문서 파일이 내려오도록 구성됐다는 사실을 밝혀냈다. 이에 보안 관계 당국과 긴밀히 공조해 피싱 서버를 신속히 차단함과 동시에 추가 분석을 진행하고 있다.
ESRC 센터장인 문종현 이사는 “대담하게 국내 주요 대학을 모방한 피싱 서버를 구축하고, 항공 및 외교·안보·국방 분야 교수진을 물색해 해킹을 시도할 정도로 사이버 위협 수위가 높아지고 있어 주의가 필요하다”며 “사례비 지급 명목으로 악성 문서 파일을 전달하고, 이에 속은 피해자가 자신의 민감 개인정보까지 직접 기재해 전달할 경우 주요 정보가 해커에게 고스란히 유출되는 2차 피해로 이어질 수 있다”라며 철저한 보안 주의를 당부했다.
