[서울=뉴시스]송종호 기자 = 정보보안 기업 이스트시큐리티는 12일 학술지 원고 심사 의뢰로 위장한 지능형지속위협(APT) 공격이 잇따라 등장하고 있다며 각별한 주의를 당부했다.

이번 위협 사례는 국내 특정 대학 학술지에 투고된 원고의 심사를 의뢰하는 형식처럼 진행됐다. 실제로 ‘미·중 경쟁과 북한의 비대칭 외교 전략 심사 논문’ 등으로 위장한 문서가 공격에 활용됐다.

공격자는 현직 교수가 재직 중인 대학의 공식 메일이나 개인용 무료 웹 메일 주소를 수집해 피싱 공격에 활용 중인 정황도 포착됐다. 이때 공격 대상자는 소속 대학별 이메일 로그인 디자인이 서로 다른 것까지 고려해 개별 맞춤형으로 정교하게 피싱 사이트를 꾸몄다. 현재까지 해커가 대학 이메일 로그인 디자인을 훔쳐 피싱 사이트를 만든 것으로 포착된 대학은 고려대, 경희대, 경남대, 이화여대, 서강대 등이다.

공격자는 심사 의뢰를 하는 것처럼 속여 자연스럽게 접근한다. 이후 이메일 회신 등 관심을 보이는 대상자를 선별해 악성 파일을 개별 첨부한다. 이때 일정 기간 시차 간격을 두고 후속 공격을 수행하는 치밀함을 보였다.

이스트시큐리티 시큐리티대응센터(ESRC)가 해당 공격을 분석한 결과 각 대학 피싱 사이트를 통해 로그인 정보가 유출될 경우 해킹 의심을 피하기 위해 정상적인 문서 파일이 내려오도록 구성한 것으로 확인됐다.

ESRC는 공격에 사용된 피싱 서버의 호스팅 서비스와 악성 DOC 문서의 공격 기법이 기존 ‘페이크 스트라이커(Fake Striker)’ 위협 캠페인과 일치한 것으로 분석했다. ESRC는 이에 근거해 이번 위협의 배후를 북한 연계 해킹 조직 소행으로 지목했다.

ESRC는 교수 출신 공직자의 경우 이 같은 해킹 표적에 노출될 우려가 있으므로, 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다고 강조했다.

문종현 이스트시큐리티 이사는 “국내 주요 대학을 모방한 피싱 서버를 구축하고, 항공 및 외교·안보·국방 분야 교수진을 물색해 해킹을 시도할 정도로 북한발 사이버 위협 수위가 고조되고 있다”라며 “사례비 지급 명목으로 악성 문서 파일을 전달하고, 이에 속은 피해자가 개인정보까지 기재해 전달할 경우 2차 피해로 이어질 수 있다”고 주의를 당부했다.


◎공감언론 뉴시스 song@newsis.com