[아이뉴스24 김혜경 기자] 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격이 발견돼 주의가 요구된다.
이스트시큐리티는 대한임상건강증진학회가 공식적으로 발송한 것처럼 사칭한 피싱 공격을 포착했다고 1일 발표했다.
실제 공격 이메일은 'webmaster@healthpro.or.kr' 주소로 표기됐다. 이는 대한임상건강증진학회 실제 주소처럼 보이도록 발신지가 조작된 것으로 드러났다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석에 따르면 공격자는 공개된 정상 SRT 안내 내용과 미국 질병통제예방센터(CDC) 문구를 무단 도용해 실제 공격에 차용했다.
피싱 공격에 사용된 이메일 헤더 내부에서는 'openChecker.jsp' 코드가 발견됐다. 이는 지난달 25일 'SRT 서대구역 신규정차 운행·예매 개시 알림' 메일의 헤더에 삽입된 정상 코드와 동일한 것으로 파악됐다.
최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 주소와 동일하게 조작된다는 점에서 주소만 믿고 접근할 경우 개인정보 해킹 피해로 이어질 수 있다.
이번에 발견된 공격은 본문 하단에 포함된 악성 피싱 링크를 유도한다. 특이한 점은 피싱 서버에 실제 대한임상건강증진학회 사이트가 사용됐다는 점이다. 대부분 피싱 공격은 제3의 서버를 해킹해 피싱 사이트로 경유하는 것이 일반적이다.
특히 이메일에는 날짜의 북한식 표기인 '날자'라는 단어가 포함됐다. ESRC 센터장 문종현 이사는 "명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법 등이 북한 연계 사이버 공격 사례와 일치했다"고 분석했다.
문 이사는 "공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 포함된 것은 이번에 처음"이라며 "민관합동 차원에서 긴밀하고 유기적인 협력체제를 구축해야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기