북한 추정 해커가 서울유엔인권사무소를 사칭해 NGO를 피싱(Phishing) 공격을 한 정황이 포착됐다고 데일리NK가 21일 전했다.

북한인권 단체 성공적인통일을만들어가는사람들(PSCORE)은 21일 피싱으로 의심되는 메일을 수신했다고 빍혔다.

남바다 PSCORE 사무국장은 “서울유엔인권사무소로부터 이메일을 수신했으나 유엔에서 사용하지 않는 도메인으로 발송됐다”면서 “해킹 시도로 의심된다”고 전했다.

해당 메일은 수신자가 서울유엔인권사무소로 되어 있으며 이메일 주소는 ‘seoul@ohchr.net’이다. 이메일주소 옆에는 ‘via upg-023:cafe24.com’이 표시돼 있다. 이메일 발송주소가 ‘seoul@ohchr.net’이 아닌 ‘upg-023:cafe24.com’이라는 이야기이다.

또한, 유엔인권최고대표사무소의 이메일 도메인은 ‘ohchr.org’이다. 이메일 본문 하단에 단체정보에도 ‘seoul@ohchr.org’로 표기돼 있다. 해커가 이메일 정보를 바꾸면서 본문의 단체정보는 변경하지 않은 모습이다.

실제, 이메일을 분석한 결과 대표적인 북한 추정 해킹 조직의 소행으로 나타났다.

문종현 이스트시큐리티 시큐리티대응센터장(ESRC)은 “이메일에 MS워드 매크로 기능을 이용한 악성 파일이 첨부돼있다”면서 “악성 MS워드 문서가 열려 매크로 코드가 실행되면 공격자가 지정한 명령제어 서버로 통신을 진행한다”고 전했다.

문 센터장은 “전형적인 매크로 공격 기법을 사용하고 있지만 분석 방해 목적으로 내부 명령어 문자열을 난독화해 사용한 것이 특징이다”며 “공격자의 의도에 따라 다양한 컴퓨터 정보가 유출될 수 있는 위험에 노출된다”고 설명했다.

일반적으로 워드 문서를 열었을 때 상단에 보안경고 메시지가 나오면서 악성 매크로를 차단한다. 그러나 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동된다.

이어 그는 “특히 공격자는 작업 스케줄러에 명령제어 서버 주소를 등록해 정기적으로 공격자 명령을 받도록 설계해뒀다”며 “이런 점 등이 기존 북한 해킹 공격 스타일과 동일하다”고 덧붙였다.