'페이크 스트라이커' 주의보…北 연계 APT 공격 '활개'

[아이뉴스24 김혜경 기자] 몇 년 전부터 '페이크 스트라이커(Fake Striker)'로 명명된 북한 연계 해킹조직의 지능형지속위협(APT) 공격이 지속적으로 포착되면서 각별한 주의가 요구된다. 특히 최근 피싱 공격 첨부파일에는 한국인터넷진흥원을 뜻하는 '키사(KISA)' 이름이 공통으로 사용된 가운데 관련 업계는 이를 예의주시하고 있다.

17일 정보보안업계에 따르면 이스트시큐리티의 시큐리티대응센터(ESRC)는 지난 15일 '6·15 남북공동선언 22주년 통일정책포럼 발제문'으로 위장한 해킹 공격을 발견했다. 해당 공격은 이날 실제 개최된 정책포럼 관련 내용처럼 위장했으며 전형적인 이메일 피싱 수법이 활용됐다.

공격자는 '동북아 신 지정학과 한국의 옵션.hwp' 문서가 첨부된 것처럼 화면을 구성했고, 포럼에 발표자로 참석하는 국립외교원 외교안보연구소 교수가 발송한 것처럼 사칭했다. 수신자가 해당 첨부파일을 클릭하면 해외에 구축된 피싱 사이트로 연결된다.

ESRC는 이번에 포착된 공격이 2019년부터 이어진 페이크 스크라이커 위협 캠페인의 일환으로 보고 있다. 첨부된 파일의 마지막 저장자가 리오넬 메시, 네이마르 등 특정 포지션의 축구선수 이름과 유사한 계정이 사용됐기 때문에 이 같이 명명했다고 ESRC는 설명했다.

ESRC에 따르면 2019년 발견된 페이크 스트라이크 위협은 통일부 정세분석총괄과를 사칭한 스피어 피싱 공격이다. 한반도 비핵화 관련 추진현황 참고자료처럼 꾸며졌으며 기한을 정해 피해자의 회신을 유도한 점이 특징이다. 당시 첨부된 파일 형식은 악성 HWP 문서였으며, 10자리의 특정 암호문제가 설정됐다. 문서 작성자는 '임병철', 마지막 저장자는 '메시(MESSI)' 계정이 사용됐다.

같은해 10월에는 한 국내 대학의 러시아연구소 소속 박사를 사칭한 스피어 피싱 공격 징후가 포착됐다. 한국과 러시아의 외교관계를 주제로 한 세미나 초대 내용처럼 위장됐고, 악성 HWP 문서파일이 이메일에 첨부됐다. ESRC는 공격자가 사용했던 명령제어(C2) 서버 두 곳은 'mypressonline[.]com' 도메인과 'scienceontheweb[.]net' 주소로, 동일한 호스팅 서비스라는 점을 확인한 바 있다.

비슷한 유형의 APT 공격은 2020년에도 지속 포착됐다. 4월에 발견된 공격 사례의 경우 HWP 파일이 아닌 DOC 문서 파일 형태로 진행됐고, 공격자는 국내 한 대학으로 발신지를 조작해 여러 교수들에게 해당 악성파일을 배포한 것으로 나타났다.

ESRC는 6월에도 정책포럼 초청장 문서로 위장한 공격을 연이어 포착했고, 이같은 유형의 공격은 지난해에 이어 올해도 이어지고 있다.

페이크 스트라이커 위협 관련 최근 주목할 만한 점은 피싱 사이트로 사용된 해외 무료 웹 호스팅 서비스가 기존 '웹프리호스팅' 외에도 'epizy[.]com' 도메인도 사용되고 있다는 점이다. 이는 '인피니티프리'로 알려진 웹 호스팅 서비스 주소다. 지난 15일 포착된 공격에는 'kakao[.]cloudfiles[.]epizy[.]com'이라는 주소가 이용됐다.

또 최근 발견된 악성·정상 문서들의 마지막 저장정보에 'Kisa' 이름이 공통으로 사용되고 있다는 점도 주의해야 한다고 ESRC는 강조했다.

ESRC 센터장 문종현 이사는 "공격자가 KISA를 사칭해 또 다른 공격을 감행하고 있는 것인지 혹은 단순히 공신력 있는 기관을 사칭하는 것인지는 아직 불분명하다"며 "해당 기관에 반감을 표시하기 위해 이 같은 계정을 사용할 수도 있으므로 정확한 의도 파악을 위해 현재 면밀하게 들여다보고 있는 중"이라고 설명했다.

문 이사는 "DOC 기반 악성문서에 KISA 등 기관 이름을 사용한 사례는 그동안 발견된 바 있지만 이번처럼 정상적인 HWP 파일에서 포착된 경우는 드문 상황"이라며 "공격자가 의도한 것인지 의도하지 않았는데 자신이 사용한 계정정보가 자동으로 남겨진 것인지 알아볼 필요가 있다"고 강조했다.