세계일보

북한이 최근 국방·외교 등 분야의 대학 교수진들을 상대로 사이버 공격을 개시한 정황이 포착돼 주의가 요구된다.

인터넷 보안 업체 이스트시큐리티는 지난 12일 사내 홈페이지 공지를 통해 논문 제목으로 위장한 ‘APT 공격’이 연이어 이루어지고 있다고 밝혔다.

이스트시큐리티에 따르면 이번 공격은 국내 항공 및 외교, 안보, 국방 분야의 교수진들을 대상으로 하고 있다.

북한 해커들은 치밀한 공격을 위해 단계별 전략을 구사하고 있다.

이들은 처음에는 국내 특정 대학 학술지에 투고된 원고 심사를 의뢰한다는 제목의 평범한 메일을 발송한다. 

메일을 받은 사용자가 회신하며 관심을 보이면, 공격자는 피싱 사이트 접속 링크가 첨부된 후속 메일을 보내온다.

링크를 클릭하면 로그인 화면이 등장하는데, 이 화면에는 피해자의 학교 로고가 새겨져있을 뿐더러 로그인 디자인 역시 학교 별로 다르게 구성돼있기 때문에 진위 여부를 판별해내기 어렵다.

화면에 이메일 주소로 구성된 아이디와 비밀번호를 입력하면 그 정보가 그대로 탈취된다.

1차로 정보를 탈취한 공격자는 논문 심사 사례비 지급 등을 이유로 매크로가 포함된 ‘개인정보 이용 동의서’ 이름의 워드 파일을 전달한다.

만일 사용자가 정보 입력을 위해 문서 상단의 ‘콘텐츠 사용’ 기능을 활성화하면, 개인정보 유출과 동시에 워드 파일에 포함돼있던 매크로 코드가 실행되며 추가 공격을 시도한다.

이스트시큐리티 자체 분석에 의하면 이번 공격에 사용된 피싱 서버의 호스팅 서비스와 공격 기법은 북한 정찰총국 연계 해킹 조직인 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인과 일치한다.

이스트시큐리티는 이러한 공격 방식으로 교수 뿐만 아니라 교수 출신 고위 공직자들도 표적이 될 수 있으며, 사례비 지급 명목을 위장한 피싱 이메일에 속아 민감한 개인정보까지 전달할 경우 중요 정보가 공격자에게 유출되는 2차 피해로 이어질 수 있는 만큼 관련자들의 각별한 주의가 필요하다고 경고했다.

아울러 이와 같은 메일을 수신했을 경우 반드시 접속 페이지의 주소(url)를 확인하고, 낯선 이에게 받은 문서파일 열람 시에는 ‘콘텐츠 사용’ 기능을 활성화하지 않아야 한다고 강조했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]