정보보안 전문업체 이스트시큐리티(대표 정진일)는 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격이 발견됐다며, 각별한 주의가 요구된다고 1일 밝혔다.
이번 공격은 마치 대한임상건강증진학회가 공식적으로 보낸 최신 코로나19 백신 알림 내용처럼 위장한 것이 특징이다. 대부분 대북 분야 종사자가 위협 대상에 포함된 것으로 확인됐다.
실제 공격 이메일은 <webmaster@healthpro.or.kr> 주소로 표기돼 있는데, 이는 대한임상건강증진학회 실제 주소처럼 보이도록 발신지가 정교하게 조작된 것이다.
최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 이메일 주소와 동일하게 조작된다는 점에서 단순히 주소만 믿고 접근할 경우 개인정보 해킹 피해로 이어질 수 있다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석에 의하면, 공격자는 공개된 정상적인 SRT 안내 내용과 미국 보건복지부 산하기관인 질병통제예방센터(CDC) 문구를 도용해 공격에 차용했다.
ESRC는 이번에 발견된 공격은 코로나19 백신 예약처럼 현혹해 본문 하단에 포함된 악성 피싱 링크를 클릭하도록 유도하는데, 이례적으로 피싱 서버에 실제 대한임상건강증진학회 사이트가 그대로 사용된 점을 발견했다. 보통의 피싱 공격은 또 다른 제3의 서버를 해킹해 피싱 사이트로 경유하는 것이 일반적이다.
이렇게 실제 발신지 위장사이트를 피싱 거점으로 공용할 경우 침해사고 조사 및 신속한 후속 대응 측면에서 효율적인 부분이 있어 공격자들이 자주 쓰는 편이 아니지만, 반대로 수신자로 하여금 보다 신뢰할 수 있는 정보로 위장할 수 있는 장점이 있다.
특히, 이번 공격에 사용된 이메일에는 ‘날짜’의 북한식 표기인 ‘날자’라는 단어가 포함돼 있으며, 명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법과 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치한 것으로 분석됐다.
관련기사
- P2E 게임 '엑시 인피니티', 해킹으로 7400억 피해2022.03.30
- 삼성 해킹 파장…내 갤럭시는 괜찮을까?2022.03.08
- 美 상원, 기업 해킹 내역 요구하는 사이버 보안법 통과2022.03.07
- 건강검진 결과서로 위장한 악성파일 발견..."北 연계 해킹 추정"2022.03.04
ESRC 센터장 문종현 이사는 "공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 함께 포함한 경우는 처음 목격됐다"며 "이처럼 北 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력과 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다"고 당부했다.
한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
