통일부 사칭 스피어피싱 포착…해명자료 위장

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

북한 소행 의심…구글 드라이브 악용

[아이뉴스24 김국배 기자] 통일부를 사칭한 '스피어 피싱' 메일 공격이 포착됐다.

23일 보안업체 이스트시큐리티에 따르면 해당 메일이 국내 대북 관련 단체 종사자를 대상으로 유포중인 것으로 확인됐다.

공격자는 통일부의 특정 주무관을 사칭하며 일부 언론사 기사에 관한 해명 자료처럼 꾸민 내용의 이메일을 유관기관에 발송해 악성코드 감염을 유도한다. 통일부에서 발송한 정상적인 이메일로 보일 수 있도록 이메일 주소를 위장했다. 제목도 '[통일부] 보도자료해명'으로 기재했다.

 [자료=이스트시큐리티]
[자료=이스트시큐리티]

또한 이메일로 받는 신용카드 명세서 등에서 흔히 볼 수 있는 보안 메일과 유사한 HTML 형식의 파일이 첨부돼 있다는 게 회사 측 설명이다. 첨부 파일을 열람하면 보안을 위해 비밀번호 발급이 필요하다는 안내와 함께 임시 비밀번호를 등록하라는 페이지가 나타난다.

입력할 경우 실제 통일부 웹사이트에 존재하는 특정 이미지 주소를 불러와 의심을 줄이는 동시에 웹브랑저를 통해 통일부의 해명 보도자료로 조작된 화면을 보여준다. 메일 수신자에게는 해명 자료 페이지만 보이지만, 사용자 몰래 특정 구글 드라이브 주소로 접속해 해커가 업로드해둔 악성 파일을 다운로드하게 된다.

이스트시큐리티는 이번 공격이 북한의 후원을 받는 해커 조직인 '금성 121그룹'의 소행으로 추정했다. 현재 한국인터넷진흥원(KISA)와 협력해 스피어 피싱 메일 유포와 악성코드 동작을 차단하기 위한 조치를 진행중이다. 자사 백신 프로그램이 해당 악성코드를 탐지·차단할 수 있도록 긴급 업데이트도 진행한 상태다.

문종현 이스트시큐리티 이사는 "지난해 발견된 통일부 사칭 공격과 유사성이 매우 높다"며 "지능형지속위협(APT) 공격은 대부분 스피어피싱 메일로부터 시작되기 때문에 출처가 불분명한 메일이나 첨부파일은 열어보지 않도록 주의해야 한다"고 당부했다.

김국배 기자 vermeer@inews24.com




주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 통일부 사칭 스피어피싱 포착…해명자료 위장

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.