[디지털데일리 이종현기자] 보안기업 이스트시큐리티는 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격을 발견했다고 1일 밝혔다.

이번 공격은 대한임상건강증진학회가 공식적으로 보낸 코로나19 백신 알림 내용처럼 위장한 것이 특징이다. 대북 분야 종사자에게 위협이 집중된 것으로 파악됐다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, 피싱 공격에 사용된 이메일 헤더 내부에서 ‘openChecker.jsp’ 코드가 발견됐다. 이는 지난 25일 ‘SRT 서대구역 신규정차 운행 및 예매 개시 알림’ 메일의 헤더에 삽입된 정상 코드와 동일하며 본문 디자인도 유사한 것으로 확인됐다.

또 본문에 포함된 코로나19 백신 효능성 모니터링 설명 부분은 미국 보건복지부 산하기관인 질병통제예방센터(CDC)의 한국어 사이트 내용과 동일하다. 이처럼 공격자는 공개된 정상 SRT 안내 내용과 CDC 문구를 무단 도용해 실제 공격에 차용했다.

ESRC는 지난 3월 18일 통일부 사칭 피싱 공격과 마찬가지로 최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 이메일 주소와 동일하게 조작된다는 점에서 단순히 주소만 믿고 접근할 경우 개인정보 해킹 피해로 이어질 수 있다고 경고했다.

이번 공격에 사용된 이메일에는 ‘날짜’의 북한식 표기인 ‘날자’라는 단어가 포함돼 있다. 명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법과 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치했다는 것이 이스트시큐리티의 분석이다.

ESRC 센터장 문종현 이사는 “공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 함께 포함한 경우는 처음 목격됐다”라며 “이처럼 북한 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력과 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다”고 말했다.