세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
피싱 공격 Lion 계정 해커, 가상화폐 거래소도 노렸나
  |  입력 : 2017-12-16 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포털 사이트 계정 보호 기능 안내로 위장한 피싱과 가상화폐 거래소 해커 연관

[보안뉴스 김경애 기자] 국내 포털 사이트의 계정 보호 기능 안내로 위장해 피싱 공격을 진행한 해커와 가상화폐 거래소를 공격한 해커가 연관성이 있는 것으로 분석돼 관심이 모아지고 있다.

▲포털 사이트 계정 도용방지를 위한 비밀번호 입력 위장 피싱 화면


이와 관련 이스트시큐리티 측은 “지난 12월 초 한국 포털 사이트의 계정 보호 기능 안내로 위장한 피싱 공격이 식별됐다”며 “이 공격은 주로 한국의 특정 가상화폐 거래관계 회원들에게 발송된 게 특징이다. 또한, 수년 전부터 안보, 통일, 국방, 대북관련 분야 관계자를 겨냥해 공격한 스피어 피싱 공격지 원점과도 일치했다”고 분석했다.

해커는 앞서 2017년 중순 경 대북관련 분야의 한국인을 타깃으로 스피어피싱 공격을 수행한 바 있다. 이 공격에는 감염 대상자가 해당 위협에 어느 정도 노출되고 있는지 체크하는 기능이 은밀히 숨겨져 있다.

공격에 사용된 아이피 주소는 ‘110.45.140.XXX’이며, 헤더 내부에는 Content-Transfer-Encoding: base64 코드로 인코딩된 데이터가 포함됐다.

이 데이터를 디코딩하면 한국의 특정 웹사이트로 이미지 소스 태그가 연결되고, PHP 명령에 의해 이메일을 열람한 상황이 전송된다는 것. 또한, 발신자의 IP 주소와 이미지 소스 태그의 호스트는 동일한 서버로 알려져 있다.

두 공격의 발신지 IP 주소가 완벽하게 일치했으며, 발송 서버가 메일에 부여하는 고유 식별자 메시지 ID 값의 도메인 주소도 ‘sam(생략)eng.co.kr’ 값으로 동일하게 사용된 것으로 분석됐다.

2017년에는 ‘문재인 정부의 탈핵선언 비판’ 내용의 악성 문서파일과 ‘경찰청 사칭’ 등 한국 맞춤형 사이버 위협에서도 최소 10건 이상 발견됐다. 해당 계정의 공격자가 2017년 주요 공격 대상으로 삼았던 곳은 국내 통일, 안보, 탈북 등 대북관련 분야라는 공통점이라는 있다.

2017년도 중순경 대북관련 분야에서 활동하는 한국의 특정인을 상대로 문서파일 취약점 공격과도 연관성이 있다는 것. 해당 공격에 사용된 취약점은 한국에서만 주로 발견되고 있는 HWP 문서파일의 취약점이 사용됐다.

문서 파일의 지은이는 ‘SEIKO’, 마지막 저장한 사람 계정은 ‘Lion’로 표기됐다. 그런데 문제는 이 계정이 지난 2015년 초 한국의 특정 전력 분야를 타깃으로 한 스피어피싱 공격에서도 식별된 바 있다. 게다가 2016년 중순에는 한국의 특정 연구기관을 상대로 한 공격에서도 발견됐다.

이에 대해 이스트시큐리티 측은 “한국의 기반시설과 대북관련 단체를 대상으로 은밀한 침투를 꾸준히 시도하던 공격자가 한국의 가상화폐 거래 회원들을 상대로도 피싱 공격을 수행할 가능성이 높은 상황”이라며 “한국을 대상으로 한 공격이 다양한 형태로 변모하고 있다는 점을 명심하고, 수신된 이메일의 경우 항상 주의하는 보안 습관이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)