세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
기재부 이어 통일부 보안메일 사칭 스피어피싱 발견
  |  입력 : 2018-07-02 10:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
도시가스 IT 회사 홈피 해킹해 특정 디렉토리에 통일부 보안메일 피싱사이트 제작
특정 타깃에게 피싱 화면 주소 포함시켜 스피어피싱 메일 발송...악성코드 감염 유도


[보안뉴스 김경애 기자] 국내 한 도시가스그룹의 IT 회사 웹사이트에서 통일부 보안메일로 위장한 웹페이지가 발견됐다. 해커는 해당 웹페이지 주소를 특정 타깃에게 스피어피싱으로 발송해 악성코드 감염을 유도했다. 기획재정부를 사칭한 데 이어 이번엔 통일부 보안메일을 사칭한 만큼 각 기관과 기업에서는 정부 사칭 스피어피싱 공격에 각별한 주의를 기울여야 할 것으로 보인다.

▲통일부 보안메일로 위장한 화면[이미지=보안뉴스]


한 보안전문가는 “최근 통일부를 사칭한 스피어피싱 공격이 포착됐다”며 “해커는 도시가스그룹의 IT 회사 홈페이지를 해킹해서 특정 디렉토리에 통일부 보안메일 피싱사이트를 만들었다. 이후 해커는 자신이 만든 피싱사이트 주소가 포함된 것을 보안 메일로 위장해 통일부가 긴급하게 보내는 것으로 속여 특정 타깃에게 발송했다”고 밝혔다.

이는 해커가 도시가스 IT 회사의 홈페이지를 해킹해 특정 디렉토리에 통일부 보안메일 피싱 사이트를 만든 것이다. 이후 해커는 피싱사이트가 포함된 주소를 통일부 보안메일로 위장해 특정 타깃에게 스피어피싱 메일을 전송했다는 게 해당 보안전문가의 설명이다.

피해자가 메일을 수신해 첨부파일의 보안메일인 html을 열람하면 통일부 보안메일 피싱사이트로 연결돼 피싱 화면이 보여지게 된다. 피싱사이트에는 ‘[긴급] 실종자 확인’이란 제목으로 ‘중국으로 출국 후 실종된 사람을 확인해 달라’는 내용을 담고 있다. ‘[긴급] 실종자 확인’을 클릭하면, 첨부된 압축파일이 다운로드된다. 압축파일에는 ‘실종자 확인 사항’이라는 PDF로 위장한 실행파일이 있는데, 해당 파일은 악성코드로 드러났다.

이번 사건은 해당 기업의 해킹으로 서버에 피싱사이트가 만들어짐으로써 시작됐다는 게 보안전문가의 설명이다.

이처럼 최근 정부를 사칭한 스피어피싱 공격이 잇따라 포착되고 있어 기업과 기관에서는 각별한 주의가 필요하다. 최근 기획재정부를 사칭한 공격이 발생한데 이어 이번엔 통일부 보안메일로 사칭한 스피어피싱까지 연이어 발견됐기 때문이다.

특히, 통일부를 사칭한 악성메일은 이번 뿐만이 아니다. 시스코 탈로스가 분석한 그룹 123은 2017년 초 ‘사악한 새해’ 캠페인을 시작했다. 당시 해당 공격조직은 대한민국 통일부로 위장했으며, ‘2017년 北 신년사 분석’ 제목으로 통일부 공식 로고를 사용했다. 문서는 북한의 새해 활동에 대해 논의한다며, 관심을 가질 만한 내용으로 유도했다.

따라서 기업과 기관에서는 스피어피싱 메일에 피해를 입지 않도록 출처가 불분명한 메일은 열어보지 말고, 백신과 OS, 프로그램 등은 최신 버전으로 업데이트해 유지하는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)