북 해킹 조직, 국내 유명 모바일 메신저를 통해 공격 진행 중!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
최근 북 연계 해킹 조직의 공격 활동이 포착되어 사용자들의 각별한 주의가 필요합니다. 

이번 공격은 유명 모바일 메신저 프로그램인 카카오톡에서 간편결제 서비스인 '카카오페이'를 위장하여 사용자를 속이려 시도하였습니다. 

카카오톡 운영 정책에는 제 3자가 보유하고 있는 상호 등을 사용할 수 없도록 제한해 놓았습니다. 그래서 공격자는 카카오페이를 위장하고 있으면서도 이름을 카카오페이로 설정하지 못하고, 대신 유사한 '카카옥페이'로 설정하여 사용자를 속이려 시도하였습니다. 

 

[그림 1] 카카오페이를 사칭하여 진행된 실제 공격 화면

공격은 바로 진행되지 않고, 이벤트와 서비스 이용에 대한 정보를 주기적으로 보내며 사용자의 호기심유발과 경계심을 낮추고자 했습니다.  이후 공격자는 개인정보처리방침이 변경되었다며 개정된 개인정보 처리방침 파일명의 압축파일을 사용자에게 전송하였습니다. 

해당 압축파일 내에는 pif 확장자로 위장한 실행파일이 포함되어 있으며, 사용자가 해당 파일을 실행하면 악성코드가 실행됨과 동시에 정상적인 PDF 파일이 실행되어 악성 파일임을 인지하기 어렵게 합니다. 

악성파일이 실행되면 사용자 정보를 탈취하여 공격자 서버로 전송하며, 사용자 PC에 숨어 공격자의 추가 명령을 기다립니다. 

이번 공격은 PC버전의 메신저 사용자를 타깃으로 하고 있으며, 만일 사용자가 모바일에서 실행할 경우 동작하지 않습니다.  

ESRC는 이번 공격에 사용된 공격 기법, 주요 침해지표 등을 분석한 결과 이번 공격은 북한 정찰 총국 연계 해킹 조직인 금성 121 조직의 수행으로 결론지었습니다. 

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.