보안 전문 기업 이스트시큐리티(대표 정진일)는 북한 연계 해킹 공격이 발견됐다며 각별한 주의를 요구했다.

이번 공격은 마치 대한임상건강증진학회가 공식적으로 보낸 코로나19 백신 알림 내용처럼 위장한 것이 특징이며, 위협 대상 대부분은 대북 분야 종사자로 파악됐다. 실제 공격 이메일은 ‘webmaster@healthpro.or.kr'로, '대한임상건강증진학회’ 실제 주소처럼 보이도록 발신지가 정교하게 조작됐다.

대한임상건강증진학회를 가장한 코로나19 알림 예약 피싱 메일(화면제공=이스트시큐리티).
대한임상건강증진학회를 가장한 코로나19 알림 예약 피싱 메일(화면제공=이스트시큐리티).

이스트시큐리티 시큐리티대응센터(ESRC)는 피싱 공격에 사용된 이메일 헤더 내부에서 ‘openChecker.jsp’ 코드를 발견했다. 이는 지난 3월 25일 ‘SRT 서대구역 신규정차 운행 및 예매 개시 알림’ 메일의 헤더에 삽입된 정상 코드와 같고, 본문 디자인도 유사하다. 또 본문에 포함된 코로나19 백신 효능성 모니터링 설명 부분은 미국 보건복지부 산하 기관인 질병통제예방센터(CDC)의 한국어 사이트 내용과 같다. 즉, 공격자는 공개된 SRT 안내 내용과 CDC 문구를 무단 도용한 것이다.

정상적인 고속철도 운행 안내 이메일의 헤더 코드와 디자인을 도용했다(화면제공=이스트시큐리티).
정상적인 고속철도 운행 안내 이메일의 헤더 코드와 디자인을 도용했다(화면제공=이스트시큐리티).

지난 3월 18일 알려진 통일부 사칭 피싱 공격과 마찬가지로 최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 이메일 주소와 같다는 점에서 단순히 주소만 믿고 접속할 경우, 개인 정보 해킹 피해로 이어질 수 있다.

이번 해킹의 특이점은 코로나19 백신 예약인 것으로 가장해 본문 하단의 악성 피싱 링크를 클릭하도록 유도한 것. 제3의 서버를 해킹해 피싱 사이트로 이용하는 것과 달리 실제 대한임상건강증진학회 사이트가 그대로 도용됐다. 수신자가 신뢰할 수밖에 없는 구조였다.

대한임상건강증진학회 로그인 페이지가 그대로 도용돼 수신자에게 혼란을 가중시켰다(화면제공=이스트시큐리티)
대한임상건강증진학회 로그인 페이지가 그대로 도용돼 수신자에게 혼란을 가중시켰다(화면제공=이스트시큐리티)

이번 공격에 사용된 이메일에는 '날짜'의 북한식 표기인 '날자'라는 단어가 포함돼 있으며, 명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법과 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치한 것으로 분석됐다.

키워드

관련기사

저작권자 © 지티티코리아 무단전재 및 재배포 금지