1. 개요
- 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행
- 국가정보원이 처음으로 北해킹공격 관련 통계를 공개하며 경각심 제고
※ 대한민국 대상 해킹공격 중, 2020~2022년에 발생한 북한으로부터의 사이버 공격 및 피해통계를 공개
- 북한발 공격은 이메일을 악용한 해킹 공격(74%), 취약점 악용(20%), 워터링 홀(3%), 공급망 공격(2%), 기타(1%) 순으로 집계
※ 국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻
2. 주요내용
- 북한은 해킹메일로 확보한 계정정보를 이용해 정보 탈취하며, 수발신 관계를 분석해 2~3차 공격대상을 선정 및 악성코드 유포 등을 수행
- 북한이 사칭한 기관 비율은 다음과 같음
> 일반적으로 발신자명을 먼저 확인하는 점에 착안해 주로 네이버, 카카오를 사칭
| 기관 | 네이버 | 카카오(다음) | 금융, 기업, 방송언론 | 외교안보 | 기타 |
| 비중 | 45% | 23% | 12% | 6% | 14% |
- 또한, 해킹 메일 제목은 다음과 같음
> 계정 정보, 회원 정보 등 변경 또는 이용제한 안내와 같이 계정 보안 문제를 주제로 피싱메일 발송
| 순서 | 해킹메일 제목 |
| 1 | 새로운 환경에서 로그인 되었습니다. |
| 2 | [중요] 회원님의 계정이 이용제한되었습니다. |
| 3 | 해외 로그인 차단 기능이 실행되었습니다. |
| 4 | 회원님의 본인확인 이메일 주소가 변경되었습니다. |
| 5 | 알림 없이 로그인하는 기기로 등록되었습니다. |
| 6 | 회원님의 메일계정이 이용제한 되었습니다. |
| 7 | [Daum]계정아이디가 충돌하였습니다. 본인 확인이 필요합니다. |
| 8 | [Daum]고객님의 계정이 충돌되었습니다. |
| 9 | [경고]회원님의 아이디로 스팸이 대량 발송되었습니다. |
| 10 | [보안공지]비정상적인 로그인이 감지되었습니다. |
- 사칭 발신자명 및 사칭 메일주소
> 사용자들의 의심을 낮추기위해 '발신자명'과 '메일 제목'을 교묘히 변형
| 사칭대상 | 사칭 발신자명 |
| 네이버 | - 네0|버 (숫자 0) - 네O|버 (영어 O) - ‘네이버 ’ - 네이버、 - ⓒ네이버 - (주)네이버 - NAVER고객쎈터 - ‘ 네이버 MYBOX ’ |
| 카카오(다음) | - ?Daum 고객센터 - Daum 보안쎈터 - Daum 고객지원 - [Daum]고객센터 - 다음메일 커뮤니케이션 - Clean Daum - '카카오팀' - Daum 캐쉬담당자 |
| 구분 | 공식 메일주소 | 사칭 메일주소 | |
| 네이버 | 네이버 | account_noreply@navercorp.com | - account_norply@navercop.com - accounsts_reply@navercorp.com - account_help@`navercorp.com |
| 네이버 고객센터 | help@help.naver.com | - help@helpnaver.com - help@help.naveradmin.com - help@help.navor.com |
|
| 네이버 메일 | navermail_noreply@navercorp.com | - mail_notify@naver.com - no-reply@navecorp.com - navermail_noreply@sian.com |
|
| 카카오, 다음 | 카카오 | noreply@kakaocorp.com | - noreply@kakaocrop.net - norepley@kakaocorps.co.kr - no-reply@kakaocorp.com |
| 다음 메일 | notice-master@daum.net | - notise-master@daurn.net - notice-master@daum.nat - notice-master@hanmail.net |
|
| 카카오 메일 | noreply_kakaomail@kakao.com | - noreply-master@kakao.com - noreply@kakao.com - noreply@kakaocrp.com |
|
3. 사칭방법 및 대응방안
- 관리자를 사칭하며, 악성 링크를 삽입해 계정 입력 유도 및 정보 탈취
| 대응방안 | 참고 |
| 발신자 이름을 유사하게 흉내내므로, 아이콘 차이 확인 |  |
| 발신자 주소 확인 |  ※ 공식 메일주소 - 사칭 메일주소 비교 표 참고 |
| 메일 내 링크 주소 확인 |  |
| 링크 클릭 후 표시되는 화면의 주소 확인 |  |
| 메일 무단열람 방지를 위한 2단계 인증 설정 |  |
| 일반적인 보안 규칙 준수 | - 출처가 불분명한 파일, 링크 실행 및 클릭 금지 등 |
4. 참고
[2] https://www.boannews.com/media/view.asp?idx=118493&page=1&kind=2
'취약점 > Social Engineering' 카테고리의 다른 글
| 국정원, 北의 '네이버 복제 피싱사이트' 주의 당부 (0) | 2023.06.14 |
|---|---|
| 마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고 (0) | 2023.06.12 |
| 불가능한 이동(Impossible Travel) 경고를 우회하는 BEC 공격 (0) | 2023.05.24 |
| 북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper) GitHub 저장소 (0) | 2023.04.30 |
| Browser in the Browser (BitB) (0) | 2023.04.20 |