보안뉴스 창간 17주년을 축하합니다!!

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

입력 : 2023-04-17 11:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
북한 해커조직, Browser in the Browser 기술 사용 등 피싱 관련 기술 고도화
웹주소 표시줄에 실제 사이트의 주소가 표시, 화면으로 피싱 페이지 파악 불가
이메일 통한 수신한 링크, 로그인 하지 않도록 사전에 주의해야


[보안뉴스 김경애 기자] 최근 북한 해커조직이 피싱 공격에 BitB(Browser in the Browser) 기술을 사용하는 등 피싱 관련 기술이 고도화되고 있어 주의가 요구된다.

▲BitB 기술이 적용된 피싱 페이지 예시[자료=영남이공대 사이버보안연구센터]


과거의 피싱 공격은 피싱 사이트의 주소를 실제 주소인 google.com에서 유사하게 g00gle.com로 바꿔 사용자가 혼동할 수 있게 눈속임으로 속인 공격이었다. 이 경우 사용자가 사이트의 주소를 유심히 살펴보면 공격임을 알 수 있었다.

반면 이번에 사용된 BitB 공격은 피싱 페이지의 주소 표시줄에 실제 사이트의 주소가 표시되어 화면만으로는 피싱 페이지임을 알 수 없다는 것이 특징이다. 실제로 이 기술은 최근 북한의 피싱을 비롯해 Steam 계정 탈취, 러시아-우크라이나 전쟁, 금융기관 대상의 피싱 캠페인 등에서 사용된 사례가 있다.

▲Typosquatting 기술을 활용한 피싱 URL 예시[자료=영남이공대 사이버보안연구센터]


영남이공대학교 사이버보안연구센터(센터장 이종락)는 “위조된 피싱 페이지의 주소 표시 줄은 실제 브라우저에서 제공하는 게 아니라 공격자에 의해 정교하게 제작된 CSS 코드로 확인됐다”며, “많은 기업이 임직원들에게 사이트에 접속할 때는 주소를 확인해야 한다고 교육하는 것을 노리고, 공격자가 주소 표시줄을 조작하는 기법을 개발한 것 같다”고 분석했다. 실제 피싱 페이지의 소스코드를 보면 주소 표시줄에 나타나는 도메인과 파라미터를 지정하는 코드도 확인할 수 있다.

▲주소 표시줄에 나타나는 도메인과 파라미터를 지정하는 코드 화면[자료=영남이공대 사이버보안연구센터]


이번 연구를 진행한 손우탁, 최수호, 강민식 연구원은 “이 공격은 디자인을 통해 가짜 팝업창을 만들기 때문에 정상 팝업창과는 달리 브라우저 밖으로 이동되지 않는 특성이 있다”며 “하지만 일반 임직원은 이러한 내용 숙지가 어렵기 때문에 이메일을 통해 수신한 링크에서는 어떠한 형태로든 로그인을 하지 않도록 주의해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)