2022-12-08 05:55 (목)
북한 해킹 그룹, 코로나19 백신 알림 등으로 위장해 사이버 공격중…주의
상태바
북한 해킹 그룹, 코로나19 백신 알림 등으로 위장해 사이버 공격중…주의
  • 길민권 기자
  • 승인 2022.04.01 13:11
이 기사를 공유합니다

실제 학회 사이트 해킹 후 가짜 로그인 페이지 기능 삽입
대한임상건강증진학회 코로나19 백신 알림으로 위장한 이메일 화면(자료제공. 이스트시큐리티)
대한임상건강증진학회 코로나19 백신 알림으로 위장한 이메일 화면(자료제공. 이스트시큐리티)

4월 1일, 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격이 발견됐다.

이번 공격은 마치 대한임상건강증진학회가 공식적으로 보낸 최신 코로나19 백신 알림 내용처럼 위장한 것이 특징이고, 대부분 대북 분야 종사자가 위협 대상에 포함된 것으로 확인됐다.

실제 공격 이메일은 ‘<webmaster@healthpro.or.kr>’ 주소로 표기돼 있는데, 분석 결과 ‘대한임상건강증진학회’ 실제 주소처럼 보이도록 발신지가 정교하게 조작된 것으로 드러났다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, 피싱 공격에 사용된 이메일 헤더 내부에서 ‘openChecker.jsp’ 코드가 발견됐는데, 이는 지난 25일 ‘SRT 서대구역 신규정차 운행 및 예매 개시 알림’ 메일의 헤더에 삽입된 정상 코드와 동일하며 본문 디자인도 유사한 것으로 파악됐다.

아울러 본문에 포함된 코로나19 백신 효능성 모니터링 설명 부분은 미국 보건복지부 산하기관인 질병통제예방센터(CDC)의 한국어 사이트 내용과 동일하다. 이처럼 공격자는 공개된 정상 SRT 안내 내용과 CDC 문구를 무단 도용해 실제 공격에 차용했다.

지난 3월 18일 보도된 통일부 사칭 피싱 공격과 마찬가지로 최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 이메일 주소와 동일하게 조작된다는 점에서 단순히 주소만 믿고 접근할 경우 개인정보 해킹 피해로 이어질 수 있다.

ESRC는 이번에 발견된 공격은 코로나19 백신 예약처럼 현혹해 본문 하단에 포함된 악성 피싱 링크를 클릭하도록 유도하는데, 이례적으로 피싱 서버에 실제 대한임상건강증진학회 사이트가 그대로 사용된 점을 발견했다. 보통의 피싱 공격은 또 다른 제3의 서버를 해킹해 피싱 사이트로 경유하는 것이 일반적이다.

이렇게 실제 발신지 위장사이트를 피싱 거점으로 공용할 경우 침해사고 조사 및 신속한 후속 대응 측면에서 효율적인 부분이 있어 공격자들이 자주 쓰는 편이 아니지만, 반대로 수신자로 하여금 보다 신뢰할 수 있는 정보로 위장할 수 있는 장점이 있다.

특히, 이번 공격에 사용된 이메일에는 ‘날짜’의 북한식 표기인 ‘날자’라는 단어가 포함돼 있으며, 명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법과 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치한 것으로 분석됐다.

ESRC 센터장 문종현 이사는 “공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 함께 포함한 경우는 처음 목격됐다”라며 “이처럼 北 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력과 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다”라고 당부했다.

한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.

★정보보안 대표 미디어 데일리시큐!★