[논문]피싱 메일 공격조직에 대한 프로파일링 사례 연구

이재일; 이용준; 권혁진

doi:10.7472/jksii.2020.21.2.91

[국내논문] 피싱 메일 공격조직에 대한 프로파일링 사례 연구
A Profiling Case Study to Phishing Mail Attack Group 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.21 no.2, 2020년, pp.91 - 97

이재일 (KrCERT) , 이용준 (Department of Cyber Security, Far East University) , 권혁진 (Research Planning Department, Korea Institute for Defense Analyses)

초록
AI-Helper

최근 국방, 안보, 외교 분야 관련자를 대상으로 하는 피싱 공격이 급증하고 있다. 특히 해킹 공격조직 Kimsuky는 2013년 이후 피싱 공격을 통해 공공기관의 주요 정보 수집을 위한 활동을 하고 있다. 본 논문에서는 피싱 메일 공격조직에 대한 프로파일링 분석을 수행하였다. 이를 위해 피싱 메일 공격의 유형을 분류하고 해킹 공격조직의 공격방식에 대한 분석을 하였다. 상세한 프로파일링 분석을 통해 공격조직의 목적을 추정하고 대응방안을 제시하였다.

Abstract ▼ AI-Helper

Recently, phishing attacks targeting those involved in defense, security and unification have been on the rise. In particular, hacking attack organization Kimsuky has been engaged in activities to collect important information from public organizations through phishing attacks since 2013. In this paper, profiling analysis of phishing mail attack organization was performed. Through this process, we estimated the purpose of the attack group and suggested countermeasures.

주제어

표/그림 (12)

그림 (그림 1) Kimsuky 공격조직에 의한 사이버공격 사례 (Figure 1) Cases of cyber attacks by Kimsuky attack group
그림 (그림 2) 포털사이트 안내메일로 위장한 피싱 공격 (Figure 2) Phishing attack as counterfeit portal reminder mail
그림 (그림 3) 보안메일로 위장한 피싱 공격 (Figure 3) Phishing attack as counterfeit secure mail
그림 (그림 4) 웹취약점 스크립트가 은닉된 피싱 메일 (Figure 4) Phishing mails using hidden web vulnerability scripts
그림 (그림 5) 첨부파일을 위장한 피싱 메일 (Figure 5) Phishing mails using counterfeit attached files
그림 (그림 6) 악성코드가 은닉된 한글파일 (Figure 6) PHWP files containing malicious codes
그림 (그림 7) 피싱 페이지 소스코드의 유사점 비교분석 (Figure 7) Comparative analysis of similarities in phishing page's source codes
그림 (그림 8) FTP 접속 및 메일 발송지 주소의 유사점 분석 (Figure 8) Comparative analysis of similarities in FTP's addresses and Mail's addresses
그림 (그림 9) 피싱사이트 서버 및 피싱메일 발송 계정 분석 (Figure 9) Analyze to connection accounts of phishing servers and phishing mails
그림 (그림 10) 피해 서버에서 확인한 공격 IP대역 (Figure 10) Attack IP bands on the damaged servers
그림 (그림 11) 해외 호스팅(hostinger)를 통해 개설한 도메인 목록 (Figure 11) Lists of domain opened through overseas hosting company(hostinger)
그림 (그림 12) 피해 서버의 연관성 분석 (Figure 12) Comparative analysis of similarities in the damaged servers

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 2018년 이후 Kimsuky 공격조직이 발송한 피싱 메일, 메일 발송지, 악성코드 유포지의 연관성을 분석하여 공격조직의 주요 특징과 대응 방법에 대해 제안한다.
본 논문에서는 최근 급증하는 국방, 안보, 통일 분야관련자를 대상으로 하는 피싱 공격조직을 분석하였다. 해킹 공격조직 Kimsuky는 2013년 이후 피싱 공격을 통해 공공기관의 주요 정보 수집을 위한 활동을 하고 있다.
본 논문에서는 피싱 메일 공격조직에 대한 프로파일링 사례 분석을 통해서 피싱 메일 공격의 유형을 분석하고 공격조직의 목적에 대해 분석하였다. 피싱 공격조직은 금전적 목적이 아닌 피싱 사이트, 악성코드 등을 유포하여 국방, 안보, 외교 등의 중요한 정보를 수집하고자 하는 공격으로 추정한다.
공격자가 피싱 메일을 발송한 목적은 악성코드 유포 및 계정정보 탈취였다. 인터넷상에 공개된 메일 주소로 피싱 메일을 발송하여 개인정보와 계정정보 탈취를 목적으로 하고 있다.

제안 방법

Kimsuky 공격 조직이 악용한 서버를 분석하여 연관성을 분석하였다. 공격자는 동일한 IP로 다수의 웹사이트의 FTP 계정에 접속하여 메일 발송지로 위장하여 피싱 메일을 전송하였다.
Kimsuky 공격조직이 악용한 서버 분석을 통해 공통점을 확인하였다. 그림 12에서 보듯이, 공격자는 동일한 IP로 다수의 웹사이트의 FTP계정에 접속했을 뿐만 아니라 메일 발송기로 피싱 메일을 전송하였다.
우선적으로 계정관리를 철저히 해야하며 이메일 비밀번호는 ‘영문 대·소문자 + 숫자 + 특수문자’를 포함하는 9자리 이상으로 3개월에 1회 변경을 하며 필요시 SMS, OTP 등을 이용한 2단계 인증 로그인 설정을 한다. 계정 유출 예방을 위해 해외 로그인 차단 기능을 설정하고 로그인 이력을 수시로 점검한다.
공격자는 다수의 메일 발송 서버에서 mail함수를 이용하여 피싱 메일을 발송하는데 공격자 계정으로 테스트를 시도하는 발송 페이지에 PHPMailer 오픈소스 메일 라이브러리를 이용였다. 해당 라이브러리를 사용하면 해당 서버의 SMTP 서비스를 이용하지 않고 외부의 SMTP 서버를 이용하기 때문에 maillog에 남기지 않기 위해 사용한 것으로 추정된다.
Kimsuky 공격 조직이 악용한 서버를 분석하여 연관성을 분석하였다. 공격자는 동일한 IP로 다수의 웹사이트의 FTP 계정에 접속하여 메일 발송지로 위장하여 피싱 메일을 전송하였다. 또한 특정 계정을 이용해서 메일 발신을 테스트를 하고 유사한 도메인 주소를 사용하였다.
공격자가 피싱 메일 서버로 해킹하여 악용한 서버는 기존에 악성코드 유포를 위해 해킹한 서버가 재사용 하였다. 공격자는 이전에 악성코드 유포지로 악용되었던 웹사이트 이력을 활용하였다. 이는 해당 피해 서버는 보안이 취약하여 지속적으로 공격자에게 악용되는 것으로 추정된다.
둘째, 메일 발송기, 피싱 사이트, 악성코드 등을 FTP를 통해 업로드 하며, 입수한 계정정보는 동일한 FTP를 통해 다운로드 하였다.
공격자는 동일한 IP로 다수의 웹사이트의 FTP 계정에 접속하여 메일 발송지로 위장하여 피싱 메일을 전송하였다. 또한 특정 계정을 이용해서 메일 발신을 테스트를 하고 유사한 도메인 주소를 사용하였다. 피싱 메일 공격으로 인한 연관성은 다음과 같다.
추가적으로 사회적 공격방식은 피싱 메일을 대응하기 위한 메일 서비스 제공자, 메일 이용자에 대한 대응방안을 제시하였다.

성능/효과

넷째, 악성코드의 대부분이 원격제어 보다는 정보수집, 키로깅에 집중되어 공격자는 금전적인 목적 보다 특정한 중요 정보 수집이 목적인 것으로 추정된다.
첫째, 대부분의 악용된 서버에 대해 FTP계정으로 실패 없이 로그인에 성공한 것으로 보아, 유출된 FTP계정을 통해 서버 접근을 시도하는 것으로 추정된다.

참고문헌 (8)

V. Suganya, "A review on phishing attacks and various anti-phishing techniques", Int. Journal of Computer Applications, vol. 139, pp. 20-23, 2016. https://doi.org/10.5120/ijca2016909084
K. L. Chiew, K. S. C. yong and C. Tan, "A survey of phishing attacks: their types, vectors and technical approaches", Expert Systems with Applications, vol 106, pp. 1-20, 2018. https://doi.org/10.1016/j.eswa.2018.03.050

상세보기
I. Qabajeh, F. Thabtah and F. Chiclana, "A recent review of conventional vs. automated cybersecurity anti-phishig techniques", Computer Science Review, vol. 29, pp. 44-55, 2018. https://doi.org/10.1016/j.cosrev.2018.05.003

상세보기
Y. J. Lee, C. B. Lee, "An Fingerprint Authentication Model of ERM System using Private Key Escros Management Server", Journal of The Korea Academia Industrial cooperation Society, 20.6, 1-8, 2019. https://doi.org/10.5762/KAIS.2019.20.6.1
J. Y. Kim, S. J. Bu and S. B. Cho, "Zero-day malware detection using transferred generative adversarial networks based on deep autoencoders", Information Sciences, vol. 460, pp. 83-102, 2018. https://doi.org/10.1016/j.ins.2018.04.092

상세보기
J. Ma, L. K. Saul, S. Savage and G. M. Voelker, "Beyond blacklists: learning to detect malicious web sites from suspicious URLs", In Proc. of the 15th ACM SIGKDD Int, Conf. on knowledge Discovery and Data Mining, pp. 1245-1245, 2009. https://doi.org/10.1145/1557019.1557153
Y. J. Lee, T. Y. Jeon, "A Malware Detection Method using Analysis of Malicious Script Patterns", Journal of The Korea Academia Industrial cooperation Society, 20.7, 613-621. 2019. https://doi.org/10.5762/KAIS.2019.20.7.613
R. Verma and K. Dyer, "On the character of phishing URLs: Accurate and robust statistical learning classifiers", In Proc. of the 5th ACM Conf. on Data and Application Security and Privacy, pp. 111-122, 2015. https://doi.org/10.1145/2699026.2699115

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증