지난 2월 발견된 네이버 마이박스 사칭 악성메일과 동일한 호스트 사용
[보안뉴스 원병철 기자] 3월 24일 대북 관계자를 노린 지방세입 고지서 사칭 해킹공격이 발생해 관계자들의 주의가 요구된다. 특히, 이번 공격은 지난 2월 발생했던 북한 언론매체 기자 대상 공격과 연관성이 발견돼 우려가 커지고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 3월 24일, 지방세입 네이버 전자문서 고지서로 위장한 해킹 공격이 진행됐다. 또한, 다음 날인 3월 25일에는 네이버페이 포인트 자동충전 정지 안내 이메일로 위장한 해킹 공격이 진행됐다. 연이어 발생한 2개의 공격 모두 대북 분야에서 활동하는 종사자들을 상대로 동시다발적으로 진행됐다.
두 공격에 사용됐던 각 이메일에 포함돼 있는 △확인하기 △네이버페이 홈 버튼을 클릭하면 모두 ‘report.mailnotification[.]xyz’ 악성 1차 호스트로 연결된다. 1차 호스트로 접속이 진행되면 다시 ‘nid.naver.com[.]pe’, ‘pay.naver.com[.]pe’ 2차 호스트 주소로 전환시켜 피싱을 수행한다.
이와 관련 지난 2월 중순 네이버 마이박스를 사칭해 북한 언론매체 기자 출신을 상대로 진행된 공격에서 ‘star.mailnotification[.]xyz’ 호스트가 발견된 바 있고, 해당 공격이 ‘naveruser[.]com’ 주소에서 발송된 바 있다.
ESRC는 “‘naveruser[.]com’ 도메인은 이미 오래전부터 북한 해킹과 관련된 악성 주소로 확인된 곳”이라면서, “네이버 전자문서나 네이버페이, 마이박스 등을 악용한 북한 연계 해킹 공격이 지속적으로 발견되고 있어 각별한 주의가 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
한국의 보안 세력을 더욱 강화 시켜 문제 없이 공격을 막아내고 간단하지만 쉽게 속을 수 있는 "악마는 디테일에 있다"라는 말같이 더욱 조심하고 의식적으로 행동 하나 하나에 의미를 두어야 할 거 같다. 특히 적대 관계인 북한이 꾸준한 공격을 보여주고 있기 때문에 디지털화되는 현대 사회에서 정보의 중요성을 더 깨닫고 한국에 보안이란 분야가 더욱 활성화되면 좋을 거 같다.