카카오팀 사칭? 알고보니 북한배후 APT 공격

이스트시큐리티와 하우리 등 보안기업들, 카카오팀 사칭 악성메일 주의 경고
ESRC, 공격에 사용된 IP 등 분석 결과 ‘북한이 배후에 있는 APT 조직의 공격’ 결론

[보안뉴스 원병철 기자] 최근 카카오팀(kakao team)을 사칭해 특정인을 겨냥한 악성메일이 발견돼 주의가 요구된다고 다수의 보안기업들이 경고하고 나섰다. 특히 이번 공격은 최근 연이어 발생하고 있는 북한 배후의 APT 공격과 유사점이 발견돼 더욱 문제가 되고 있다.

[이미지=utoimage]

이번 공격은 ‘[kakao]해외지역에서 로그인 되었습니다’라는 제목으로 카카오팀이 발송한 이메일처럼 위장해 발송됐다. 특히 카카오팀의 정상적인 메일 발송 계정인 ‘noreply@kakaocorp.com’과 유사한 ‘no-reply@kakaocorp.info’ 계정을 사용했으며, 해외에서 비밀번호가 외부에 유출되어 개인정보 보호 조치가 필요하다는 내용으로 발송됐다. 보안 강화가 요청된다는 내용으로 위압감을 조성해 사용자들이 계정 정보를 입력하도록 한 것이다.

▲공격에 사용된 카카오팀 사칭 이메일[이미지=이스트시큐리티ESRC]

또한, 메일에는 ‘해외지역 로그인 차단하러 가기’ 버튼이 포함되어 있다. 해당 버튼에는 링크가 포함되어 있으며, 링크 클릭 시 공격자가 제작해 놓은 피싱 페이지로 이동한다. 피싱 페이지의 경우 매우 정교하게 제작되어 있으며, 로그인 영역뿐만 아니라 QR코드 로그인, 개인정보처리방침과 같은 다른 메뉴들도 제작해 실제 페이지처럼 보이도록 위장하고 있다.

QR 페이지의 경우 분석 시점에는 동작하지 않았다. 계정정보 페이지에 계정정보를 입력하면 입력한 계정정보는 base64로 인코딩 되어 공격자 서버로 전송된다.

▲피싱 페이지 추가 메뉴 화면[이미지=이스트시큐리티 ESRC]

이와 관련 하우리 보안대응센터 김정수 센터장은 “최근 악성 피싱메일은 정교하게 유사도가 높게 만들어져 정상적인 메일과 비교하여 차이점을 쉽게 파악하기 어렵고, 특히 특정인을 겨냥하여 배포되는 정황이 증가하고 있는 추세이기 때문에 더욱 주의가 필요하다”며, “계정 정보(메일 계정, ID, 비밀번호) 등 중요한 정보의 입력을 유도하는 메일은 일단 의심해야 하고 진위를 파악해봐야 한다”라며 주의를 당부했다.

또한, 이스트시큐리티 ESRC는 “이번 공격에 사용된 IP는 얼마 전 ESRC에서 공개한 ‘연말 외교·안보 종사자 대상 자료요청, 알고보니 北 연루 해킹 위협' 공격에서도 활용된 적이 있다”면서, “여러 지표들을 분석한 결과, 이번 공격은 북한이 배후에 있는 APT 조직의 ‘스모크 스크린(Smoke Screen)’ 공격 활동의 연장선으로 결론지었다”고 밝혔다. 아울러 “북한 배후로 지목된 해킹 공격이 지속되고 있는 만큼, 관련자 여러분들의 각별한 주의가 요구된다”고 강조했다.

한편, 이스트시큐리티 ESRC가 스모크 스크린 공격의 배후로 지목한 해킹그룹은 탈륨 혹은 김수키로 알려진 북한 배후의 APT 공격 그룹이며, 처음 스모크 스크린 공격으로 이름 붙은 공격은 2019년 4월 한미 정상회담을 사칭한 스피어 피싱 공격이었다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)