저희 인터랩은, 디지털공간에서 반복적으로 인권 활동가들을 타겟으로 하는 사이버공격들의 출처를 추적해오며, 내부적으로 이 공격자를 UCID902로 명명하였습니다. 이 공격자는 장기간동안 국내의 특정 인권활동가들을 대상으로, 활동가들의 온라인 계정정보들을 탈취하기 위한 워터링홀 공격들을 지속적이며 반복적으로 진행해왔습니다.

활동가분들께 지원을 드리는 도중 2021년 처음 발견하게된 이 공격자의 공격 시도는, 네이버 보안 알림으로 보이는 이메일 컨텐츠를 통해, 활동가들이 그들의 계정정보 및 비밀번호를 입력하게 끔 유도하고 있었습니다. 또한 이를 위해 사용된 피싱 페이지들 또한 개별 서버가 아닌, 정상적으로 사업을 지속중이였던 국내 웹개발사의 서버들을 해킹하고 이를 통하여 배포하고 있던 것으로 파악되었습니다.

이후 2년간, 저희 인터랩은 이 공격자가 국내 인권활동가 및 시민활동가들을 대상으로 지속적인 시도를 진행해온것을 목격하였습니다.

공격을 위해 사용된 피싱 컨텐츠 또는 시기는 다를 수 있었으나, 저희는 관련된 시도들의 추적 및 관련정보들의 취합을 통해, 각각의 개별적인 사이버공격시도들이 실제로는 동일한 서버, 방식, 그리고 타겟들을 대상으로 진행되고 있는 사실을 발견하게 되었습니다. 특히, 서울에 등록되고 정상적으로 사업을 운용중인 웹개발사와 관련된 서버(역시 해킹되었을 것으로 유추하는) 가 다양한 시도들에 반복적으로 사용되었음을 확인하였습니다.

또한 저희 인터랩은 2022년에 발견된 Kimsuky 그룹의 통일부(@uni_kr) 사칭 피싱 이메일 및 이에 관련한 악성 한글 문서 파일이, 이전부터 추적해온 UCID902 공격자와 동일한 서버를 사용중인 사실을 확인하였습니다.

이미 알려진 사이버 공격그룹과의 직접적인 연관성 및 관련 증거의 발견을 통해, 저희 인터랩은 오랜기간동안 지속적으로 추적해온 UCID902 공격자의 사회-정치적 동기들을 최종적으로 검증할 수 있게 되었습니다.

저희는 일련의 공격들에 사용되었던 웹개발사들의 취약한 웹서버들에 관련된 정보를 KISA(@kisa118) 에 알렸으며, 관련 조치를 기다리고 있습니다. 저희는 이 서버들이 안전해지는 즉시, IOC 등의 관련 정보들을 보고서에 추가하여 다른 활동가 및 조직들이 스스로를 보호할 수 있도록 도울 예정입니다.

저희의 분석보고서는 이곳에서 읽어보실수 있습니다: https://interlab.or.kr/archives/18979 분석 보고서 (영문)