( 1 ) 개요
¨ 05월 02일자 미국 국무부, 연방수사국(FBI), 국가안보국(NSA)에서 공동으로 북한 Kimsuky 해킹조직의 스피어피싱 메일 공격 사례 및 대응방법이 포함된 사이버보안 권고문[1]을 발표함
¨ 05월 03일자 국가사이버안보센터에서 이를 중대하게 판단하여 "美 정부, '北 Kimsuky 해킹' 합동 보안권고문 발표[2]" 를 기재함
( 2 ) 내용
¨ Kimsuky 해킹조직은 사회공학적 해킹시도를 감추기 위해 이메일 서버의 DMARC 레코드 정책을 악용하고 있음
Ø DMARC 정책을 제대로 구성하지 않으면 Kimsuky 해킹조직이 스푸핑된 이메일을 합법적인 도메인의 이메일에서 온 것처럼 속일 수 있음
¨ Kimsuky 해킹조직은 북한 관련 정책을 다루는 기자, 학계 인사 및 기타 동아시아 전문가 등으로 위장하여 스피어피싱 공격을 수행하고 있음
Ø 이러한 스피어피싱 활동을 통해 대상자들의 문서, 연구결과, 통신 내용 등에 불법적으로 접근함으로써 외교전략 및 북한의 이해관계에 영향을 미칠 수 있는 정보를 수집하는 것을 목표로 함
¨ 이번 권고문은 침해사례 및 피해 예방대책 등도 포함됨
Ø 참고로 기존 2023년 06월 Kimsuky 한미 합동보안권고문 '북한이 사회공학을 이용해 싱크탱크, 학계, 언론 해킹[3]' 를 보고한 바 있음
¨ DMARC[4] 란?
Ø Domain-based Message Authentication Reporting and Conformance(도메인 기반 메시지 인증 보고 및 적합성) 의 약자로 이메일 인증 프로토콜임
Ø 이메일 도메인 소유자가 이메일 스푸핑으로 알려진 무단 사용에서 도메인을 보호할 수 있도록 설계됨
Ø DMARC의 구현 목적은 비즈니스 이메일 공격, 피싱 이메일, 이메일 사기 등 사이버 위협 행위에 도메인이 이용되지 않게 보호함
( 3 ) 피해 예방대책
¨ DMARC 보안 정책[5]의 완화 조치를 권고함
Ø 누락된 DMARC 정책 또는 "p=none" 이 있는 DMARC 정책은 수신 이메일 서버가 DMARC 확인에 실패한 이메일에 대해 보안 조치를 취하지 않으며 이메일이 수신자의 받은 편지함으로 전송되도록 허용함
Ø 그래서 조직이 정책을 더욱 엄격하게 설정함으로써 인증되지 않은 이메일을 스팸으로 간주하도록 해야 함
Ø 아래와 같이 두 가지 구성 중 하나로 DMARC 정책 업데이트 하여 위협을 완화할 것을 권고함
구분 | 내용 |
"v=DMARC1;p=quarantine;" | 이메일 서버가 DMARC 에 실패한 이메일을 스팸 가능성이 있는 것으로 간주하여 격리함 |
"v=DMARC1;p=reject;" | DMARC 에 실패한 이메일은 거의 확실하게 스팸으로 간주하여 차단하도록 이메일 서버에 지시함 |
¨ 2024년 04월 16일자 proofpoint 보안업체 블로그에 기재된 Kimsuky 관련 DMARC 남용 건[6]이 기재되어 관련 IoC 차단을 권고함
Ø 본 합동 보안권고문과 관련이 있는 것으로 추정되어 IoC 차단을 권고함
Ø 아래 도메인 VirusTotal 에서 악성 여부를 조사한 결과, 전부 12개 이상의 악성 결과값이 검출됨
Ø IoC 리스트 :
stimson[.]shop
stimsonn[.]org
nknevvs[.]org
wilsoncenters[.]org
wilsoncentre[.]org
¨ 아래와 같은 북한의 악의적인 사이버 행위자의 징후 및 행동을 인지할 수 있도록 보안교육 주기적으로 실시함
Ø 악성 링크/첨부 파일이 없는 무해한 초기 통신 이후 잠재적으로 합법적인 것처럼 보이는 다른 이메일 주소에서 악성 링크/문서가 포함된 통신이 이어짐
Ø 이전 피해자가 다른 합법적인 연락처와 접촉하여 복구된 메시지의 실제 텍스트를 포함할 수 있는 이메일 콘텐츠
Ø 문장 구조가 어색하거나 문법이 잘못된 영어 이메일
Ø 미국을 포함한 정책 정보에 대한 직간접적인 지식을 갖고 있는 피해자를 대상으로 하는 이메일 또는 커뮤니케이션를 시도함 (북한, 아시아, 중국, 동남아시아 문제를 담당하는 한국 정부 직원/관료, 높은 허가 수준을 지닌 한국 정부 직원, 그리고 군대 구성원들)
Ø 대학 명부 또는 공식 웹사이트에 나열된 합법적인 이름과 이메일 주소의 미묘한 철자 오류로 스푸핑된 이메일 계정
Ø 문서를 보기 위해 사용자가 '매크로 활성화' 클릭해야 하는 악성 문서
Ø 초기 스피어피싱 이메일에 대상이 응답하지 않는 경우 최초 연락 후 2~3일 이내에 후속 이메일 발송
Ø 공식 소스에서 보낸 것처럼 사칭하지만 비공식 이메일 서비스를 사용하여 전송된 이메일, 이메일 헤더 정보를 통해 조직 도메인의 약간 잘못된 버전임을 식별할 수 있는 이메일
[1] 링크 : https://www.state.gov/u-s-government-cybersecurity-alert-democratic-peoples-republic-of-korea-dprk-using-new-tactic-in-social-engineering-operations/
[2] 링크 : https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=133973&pageIndex=1&searchCnd2=#LINK
[3] 링크 : https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=44274&pageIndex=2&searchCnd2=
[4] 참고 링크 : https://ko.wikipedia.org/wiki/DMARC
https://www.cloudflare.com/ko-kr/learning/dns/dns-records/dns-dmarc-record/
글
댓글 없음:
댓글 쓰기