문의하기
블로그

김수키 해커가 만든 고려대학교 피싱 사이트, 연구기관 전체를 노리는 건가

북한 해킹그룹 김수키(Kimsuky)가 고려대학교 포털 사이트로 위장한 피싱사이트를 개발했다는 소식에 논란이 되고 있다. 해당 고려대학교 피싱사이트를 확보해 확인해보니 고려대학교 공식 포털사이트와

2024. 07. 24.

북한 해킹그룹 김수키(Kimsuky)가 고려대학교 포털 사이트로 위장한 피싱사이트를 개발했다는 소식에 논란이 되고 있다. 해당 고려대학교 피싱사이트를 확보해 확인해보니 고려대학교 공식 포털사이트와 완전히 동일한 페이지의 모습을 하고 있었다. (고려대학교 공식 포털 사이트 : https://portal.korea.ac.kr/)

북한 해킹 그룹 김수키(Kimsuky)가 개발한 것으로 추정되는 고려대학교 피싱 사이트
북한 해킹 그룹 김수키(Kimsuky)가 개발한 것으로 추정되는 고려대학교 피싱 사이트

해커의 서버에 쌓이고 있는 고려대 학생 계정 정보

피싱사이트의 HTML을 분석한 결과, 웹사이트는 기본적으로 Windows 서버를 사용하고 있고, 웹 개발 초보들이나 학생들이 주로 사용하는 XAMPP 프레임워크를 사용해 구축한 매우 간단한 웹사이트 구성이었다. 그리고 포털의 기능들인 메일, 수강신청, 연구포털 도서관 등 고려대 포털의 기본적인 기능을 클릭하면 실제 고려대 포털 사이트로 이동하도록 되어 있었으나, 로그인창에 ID와 비밀번호를 입력하면 username=xxxx&password=yyyy 형태로 계정 정보가 포함된 URI가 해커에게 전달되도록 구성되어 있었다. 전형적인 피싱 공격의 형태이며, 탈취한 고려대 학생들의 계정 정보는 해커의 동일 서버의 특정 URI 경로에 차곡차곡 쌓이도록 구성되어 있었다.

해커의 서버로 전송된 탈취된 고려대학교 학생들의 계정 정보 목록

놀라운 사실은, 해당 서버에는 고려대 뿐만 아니라 다른 여러 대학교들의 피싱 사이트도 개발되어 있다는 것이다. 예를 들어, 디렉토리 리스팅된 폴더를 조사하는 과정에서 성균관대학교 포털의 피싱 사이트도 발견할 수 있었다.

김수키로 추정되는 해커의 서버 조사중 발견된 성균관대학교 포털 피싱 사이트

고려대학교 피싱 사이트의 도메인, IP 주소 분석 

CTI 기반 검색엔진 Criminal IP에서 해당 피싱 도메인에 매핑되어 있는 IP 주소를 조사한 결과, IP 주소의 as_name은 “UCLOUD INFORMATION TECHNOLOGY HK LIMITED” 이며, UCloud Information Technology(https://www.ucloud.cn)라는  중국의 클라우드 서버를 쓰는 것으로 확인할 수 있었다. 클라우드 서비스 제공업체 자체는 중국에 위치해 있지만, IP 주소는 한국 리전으로 되어있어서 서버 자체는 한국에 있음을 알 수 있다.

중국 클라우드 서비스 UCloud Information Technology를 사용하면서 한국에 서버를 둔 피싱 사이트의 IP 주소 리포트
중국 클라우드 서비스 UCloud Information Technology를 사용하면서 한국에 서버를 둔 피싱 사이트의 IP 주소 리포트

한국 대학교들을 위협하는 해커, 북한의 김수키로 추정

이번 공격에서 주목할만한 점은, 이 피싱 사이트들의 주요 타겟이 대한민국 주요 학교의 포털 사이트라는 것이다. 이 포털 사이트는 학부생들도 당연히 접속하겠지만, 그보다 더 심각한 피해로 예상되는 것은 석박사 연구원들이나 교수들도 접속하는 사이트라는 것이다. 교수와 석박사 연구원들은 국방이나 국가 관련 주요 프로젝트를 수행하기도 한다. 때문에, 학부생이 아닌 이들이 해커의 진정한 타겟일 수 있다.

끊임없는 북한 해킹의 이슈로, 이미 대한민국의 국가기관이나 공공기관 서버들은 계속해서 보안을 강화하고 있으며 다양한 보안 솔루션으로 탐지 능력을 높이고 있다. 만약 대학교 피싱 사이트 서버가 해커 김수키가 만든 서버가 맞고, 북한의 소행이라면, 이런 상황에서 국가정보를 탈취하기 위해서 보안이 강화된 국가기관 자체를 해킹하기보다는 그 국가정보를 함께 공유하는 다른 기관을 타겟으로 삼는 것이 훨씬 쉬울 수 있다. 대부분의 학교는 예산 문제로 보안 규정이 상당히 느슨하게 되어있다. “학교는 늘 취약하지만, 돈이 없으니 그냥 둔다”는 말은 알만한 보안 업계 사람들은 누구나 하는 이야기들이다.

물론 이번 사건이 김수키의 공격이라는 구체적인 근거는 아직 나오진 않았다. 위협헌팅 도구인 Validin에서만 해당 피싱 도메인을 김수키와 연관된 것이라고 정의하고 있는 정도이다. 하지만 위에 설명한 목적으로 북한 해커들이 대한민국의 학교나 연구기관을 노리고 있을 것이라는 의심은 충분히 할 수 있다.

고려대학교 피싱 도메인을 김수키(Kimsuky)와 관련된 것으로 판단한 위협 추적 도구 'Validin'
고려대학교 피싱 도메인을 김수키(Kimsuky)와 관련된 것으로 판단한 위협 추적 도구 ‘Validin’

쉬운 타겟을 공략하는 해커의 전술에 따른 보안 영향

‘해커들은 같은 목적을 달성하기 위해 보다 쉬운 타겟을 선정하여 공격한다’ 라는 말이 있다. 이를 방증하는 대표적인 사례로 대기업의 정보를 탈취하기 위해서 보안 시스템이 빡빡하게 되어 있는 대기업 자체를 공격하기 보다는 그 대기업의 하청을 받아 일하는 협력사를 공격하는 사례가 있다. 같은 정보를 공유하고 있으면서 해킹하기 쉬운 상대를 공략하는 것은 해커들의 기본적인 전술이다. 따라서 중요도 높은 데이터를 취급하고 있다면 국가기관의 연구를 수행하는 학교나 대기업의 하청을 받아 수행하는 중소기업 협력사나 모두 마찬가지로 보안 경각심을 높일 필요가 있다.

마지막으로, Criminal IP Domain Search 에서는 해당 피싱사이트를 Critical 로 정의하고 있다.

Criminal IP의 Domain Search로 고려대 피싱 사이트를 스캔한 결과, 위험도 Critical 로 판단되었다

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

데이터 출처: Criminal IP(https://www.criminalip.io/ko)

관련 글 :

불법 웹툰 사이트 ‘뉴토끼’, 클라우드플레어로 감춰둔 IP 찾아내기