2024-06-19 05:55 (수)
북한 해킹그룹, 취약한 이메일 보안 프로토콜 악용해 사이버 공격
상태바
북한 해킹그룹, 취약한 이메일 보안 프로토콜 악용해 사이버 공격
  • 길민권 기자
  • 승인 2024.05.06 06:32
이 기사를 공유합니다

NSA, 북한 해킹 그룹 APT43, 민감정보 수집위해 연구기관 및 미디어 공격 경고

최근 미국 국가안보국(NSA), 연방수사국(FBI), 미국 국무부가 발표한 공동 권고문에서 북한 해킹 그룹 APT43이 취약한 이메일 보안 프로토콜 악용해 사이버 공격을 감행하고 있다고 경고했다.

이번 사이버 공격은 북한 정찰총국(RGB)과 연계된 사이버 위협이다.  

APT43 그룹은 2012년부터 활동해 왔으며 미국, 유럽, 일본, 한국의 유명 표적을 겨냥한 표적 스피어피싱 캠페인을 조직적으로 수행해 왔다. 

DMARC는 이메일 발신자의 진위 여부를 확인하여 이메일 스푸핑 및 피싱 공격에 대한 방어 메커니즘 역할을 한다. 그러나 APT43 그룹은 DMARC 구성 취약점, 특히 이메일 서버가 DMARC 검사에 실패한 메시지에 대해 아무런 조치를 취하지 않도록 지시하는 "p=none" 설정의 약점을 악용했다. 이를 통해 공격자들은 이전에 침해된 소스에서 수집한 콘텐츠가 포함된 스푸핑 이메일을 통해 공격 대상의 메일함에 침투할 수 있다.

APT43 스피어피싱 캠페인의 주요 목표는 지정학적 사건, 적국의 외교 정책 전략, 북한의 국익과 관련된 민감한 정보에 대한 인텔리전스를 수집하는 것이다. 해커들은 정책 분석가, 싱크탱크, 연구 센터, 학술 기관, 미디어 조직을 침해함으로써 북한 정권에 귀중한 지정학적 통찰력을 제공하는 동시에 북한의 안보와 안정에 대한 위협을 인지하지 못하게 하는 것을 목표로 하고있다.

사이버 보안 전문가들은 APT43 및 이와 유사한 국가 지원 공격자들의 사이버 위협에 대응하기 위해 엄격한 DMARC 보안 정책을 구현할 것을 권장한다. 조직은 DMARC 구성을 "v=DMARC1; p=검역;" 또는 "v=DMARC1; p=거부;" 설정으로 업데이트하여 각각 DMARC 검사에 실패한 이메일을 검역하거나 거부하는 것이 안전하다. 또한 'rua'와 같은 다른 DMARC 정책 필드를 설정하여 통합 보고서를 받도록 하면 이메일 인증 결과에 대한 가시성을 높이고 잠재적인 보안 침해를 식별하는 데 도움이 될 수 있다.

최근 NSA, FBI, 미국 국무부가 발표한 경고는 전 세계 정부, 기업, 조직이 직면한 사이버 위협이 진화하고 있음을 극명하게 보여준다. 공격자들이 악의적인 목적으로 이메일 보안 프로토콜의 취약점을 지속적으로 악용하고 있기 때문에 보안담당자들은 경계를 늦추지 말고 선제적으로 사이버 보안 태세를 강화해야 한다. 강력한 DMARC 구성을 구축하고 포괄적인 보안 조치를 구현함으로써 조직은 국가가 후원하는 사이버 공격의 희생양이 될 위험을 효과적으로 완화하고 무단 액세스로부터 민감한 정보를 보호할 수 있다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★