최근 북한의 사이버 위협이 계속되는 가운데 구글 설문 문서로 위장한 악성코드 공격이 발견됐다. 이번 사이버 공격은 실제 개최 예정인 국립외교원(IFANS) 회의에 초청하는 것처럼 속인 것으로 알려졌다.
보안 전문기업 이스트시큐리티는 26일 ‘2022 외교안보연구소 국제문제회의’에 모시는 글로 위장한 북한 연계 해킹공격이 포착됐다며 각별한 주의를 당부했다.
이번 공격은 다음달 2일 국립외교원 외교안보연구소에서 실제 개최 예정인 국제문제회의를 미끼로 삼았다. 이들은 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장해 구글 설문지를 작성하도록 유도하는 공격 수법을 사용했다.
공격자는 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물에 첨부된 초청장 이미지를 도용해 공격에 사용한 것으로 드러났다. 국제문제회의는 국립외교원 외교안보연구소의 연례 포럼이다.
초청장 이미지는 피싱 공격용 이메일 본문에 포함돼 발송되며, 수신자가 이미지 영역에 접근할 경우 피싱 사이트로 연결된다. 이때 보이는 주소는 ‘docxooqle.epizy[.]com’로 얼핏 보기에는 구글 설문지 양식처럼 보이지만, 구글처럼 위장된 가짜 사이트다.
이스트시큐리티 시큐리티대응센터(ESRC)가 해당 구글 설문지로 위장된 피싱 수법을 조사한 결과 공격자는 실제 구글 설문지 양식을 교묘하게 모방해 공격에 활용한 것으로 밝혀졌다.
사이트는 이용자가 성명, 소속, 직위, 이메일, 연락처 등의 개인정보를 직접 입력하도록 유도해 정보 탈취를 시도한다. 설문 작성 등록이 완료되면 ‘accounts.qocple.epizy[.]com’ 피싱 주소로 화면을 이동시켜 구글 로그인 화면을 보여주고, 지메일 비밀번호 탈취를 시도하는 식이다.
여기서 복수로 발견된 ‘epizy[.]com’ 도메인은 최근 북한 해커 조직으로 추정되는 사이버 공격 사건에서 공통적으로 발견되고 있다. 이는 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스다.
문종현 이스트시큐리티 이사는 “과거에도 구글 설문지로 가장한 위협 사례가 전혀 없던 것은 아니지만, 이번처럼 정교한 수법으로 구글 피싱 공격까지 쓰인 것은 보기 드문 사례”라면서 “올 하반기에도 북한 소행으로 지목된 사이버 안보 위협 수위가 계속 높게 유지되는 추세”라며 주의를 당부했다.
노혜진 인턴기자