국립외교원 구글 설문지로 위장한 北 연계 해킹 betman 토토 등장!

​​

‘2022 외교안보연구소(IFANS) 국제문제회의’ 초대장 처럼 위장한 북한 연계 해킹 betman 토토이 발견되어 관련자 여러분들의 각별한 주의가 필요합니다.

이번 betman 토토은 오는 11월 2일 국립외교원 외교안보연구소(IFANS)에서 개최가 예정되어 있는 국제문제회의 행사에 외교·안보·국방 분야 전문가를 초대하는 것처럼 위장하고 있으며, 이들로 하여금 구글 설문지를 작성하도록 유도하여 정보 탈취를 시도하는 betman 토토 기법을 사용하였습니다.

​​

[그림 1] 국립외교원 국제문제회의 초대로 위장한 피싱 모습

국제문제회의는 국립외교원 외교안보연구소의 연례 포럼으로 국내외 학계 주요인사 및 외교·안보·국방 분야별 전문가들이 다양한 논의와 전망을 모아 분석함으로써 외교전략 수립에 기여하는 토론회입니다. 공격자는 지난 10월 21일, 외교부 공식 사이트 공지사항에 올려진 ‘2022 IFANS 국제문제회의 개최’ 게시물 내 초청장 이미지를 도용해 공격에 사용하였습니다.

​​

[그림 2] betman 토토 설문지로 위장한 피싱 사이트 모습

이렇게 도용된 초청장 이미지는 피싱 링크가 포함된 형태로 메일 본문에 첨부되어 발송되었으며, 이미지 클릭 시 피싱 사이트로 연결됩니다. 피싱 사이트는 betman 토토 설문지를 위장하고 있지만, 도메인이 ‘docxooqle.epizy[.]com’ 주소로 되어있어 주소창을 자세히 살펴보면 betman 토토처럼 위장하고 있는 가짜 사이트라는 것을 쉽게 인지할 수 있습니다.

​​

[그림 3] betman 토토 계정 로그인 화면으로 위장된 피싱 화면

betman 토토자는 설문지 작성 항목에 성명, 소속, 직위, 이메일, 연락처 등의 개인정보 입력을 유도하여 1차 정보 탈취를 시도합니다. 정보 입력 완료 후 설문 작성 등록을 누르면 ‘accounts.qocple.epizy[.]com’ 의 구글 로그인 페이지를 위장한 피싱 페이지로 이동시켜 지메일 비밀번호의 추가 탈취를 시도합니다.

단계별 betman 토토을 통하여 개인정보 및 구글 계정정보 탈취를 시도하며, 이렇게 유출된 개인정보는 추가 betman 토토에 활용되어 연쇄적 해킹 피해로 이어질 수 있어 사용자들의 각별한 주의가 필요합니다.

이번 betman 토토에 사용된 ‘epizy[.]com’ 도메인은 ‘인피니티 프리(Infinity Free)’라는 해외 무료 웹 호스팅 서비스로, 최근 북한 정찰총국 연계 해킹 조직인'페이크 스트라이커(Fake Striker)' 위협 캠페인에 잇따라 등장하고 있습니다.

또한 2차로 구글 계정정보 탈취를 시도하는 구글 로그인 피싱 페이지를 한글이 아닌 영문으로 제작하였는데, 이는 평소 영문 서비스에 친숙한 인물을 betman 토토 타겟으로 했을 가능성이 높은 것으로 추정되는 대목입니다.

이러한 피싱 betman 토토을 예방하려면 웹 페이지 접속 시 주소창의 웹사이트 주소를 꼼꼼히 살펴야 하며, 사이트별 계정의 비밀번호를 다르게 설정해야 합니다. 또한 비밀번호의 주기적인 변경 뿐만 아니라, 자주 사용하는 계정의 경우 2단계 인증을 통하여 혹시 모를 계정정보 유출에 대비해야 합니다.

과거에도 구글 설문지로 위장한 betman 토토이 진행되었지만, 이번처럼 정교한 수법으로 구글 계정 탈취 까지 시도한 betman 토토은 보기 드문 경우입니다. 북한이 소행으로 지목된 betman 토토이 지속되고 있는 만큼 외교·안보·국방 분야별 전문가들의 각별한 주의가 요구됩니다.

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.