카카오 로그인화면으로 위장한 웹페이지

ASEC 분석팀은 최근 카카오의 로그인 페이지를 위장하여 특정인의 계정정보를 취하려는 정황을 확인하였다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도하였을 것으로 추정된다.

웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이 가능한 카카오 로그인페이지의 정상포맷(그림 2)과 동일하게 제작되었다.

그림 1. 카카오 계정의 ID가 완성되어있는 로그인 위장 화면

그림 2. 정상적인 카카오 웹로그인 화면 (카카오메일이 있을경우 아이디만 입력가능한 포맷)

ASEC 분석팀에서 지속적으로 대북관련 모니터링을 해온 것을 토대로, 이러한 정상포맷의 특징을 통해 해당 ID가 ‘kakao.com’ 혹은 ‘hanmail.net’ 메일계정에 사용되었을 가능성을 고려해보면 자동입력 되어있는 ID와 유관한 무역/언론/대북관련 인물과 기관을 타겟으로 삼았을 것으로 추정된다.

로그인 화면에서 자동완성 되어있는 일부 계정들에 대해 추정하는 정보는 다음과 같다.

• a***d : 대학 교수
• ya***2 : 방송국 기자
• sh***her : 대북사업 지원단체

아래의 그림 4와 같이 로그인 페이지의 URL주소도 accountskakao로 시작하기 때문에, 웹페이지에 접속하게 되는 사용자는 무심코 비밀번호를 입력할 가능성이 농후하다.

그림 3. 카카오의 정상 웹 로그인 페이지

그림 4. 카카오 로그인 페이지를 위장한 악성 URL

• (정상) : https://accounts.kakao.com
• (악성) : hxxp://accountskakao.pnbbio[.]com , hxxp://accountskakao.koreawus[.]com

특히, 확보한 로그인 페이지 중 일부 URL은 일정 기간을 두고 사용자의 ID를 변경하여 로그인을 유도하는 정황이 확인되었는데, hanmail.net과 동일한 ID를 사용할 가능성을 고려해보면 언론사 기자 계정정보를 확보하기 위해 타겟팅한 것으로 추정된다. 로그인 시도 시 아래와 같이 공격자가 제작한 서버에 GET메소드를 통해 ID와 PW를 유출한다.

그림 5. 입력한 계정정보를 유출하는 과정

이처럼 사용자를 속이기 위해 정교하게 제작된 로그인 페이지가 확인된 관계로, 신뢰하지 않는 수신인으로부터 발송된 메일열람에 특히 주의가 필요하다. 또한, 웹서핑 과정에서 기타 애플리케이션과의 연동되는 로그인이 필요한 경우에는 접근한 페이지의 URL이 정상적인 도메인인지 정확한 URL 주소 확인 및 인증서 등을 통해 판단 후 접근할 것을 권고한다.

V3에서는 본문에서 언급한 도메인들에 대해 차단하고 있다.

[IOC]
hxxp://accountskakao.pnbbio[.]com
hxxp://accountskakao.koreawus[.]com

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.