이스트시큐리티는 대한임상건강증진학회 신종 코로나바이러스 감염증(코로나19) 백신 알림으로 위장한 북한 연계 해킹 공격을 포착했다고 1일 밝혔다.

이번 공격은 대한임상건강증진학회가 공식적으로 보낸 최신 코로나19 백신 알림 내용처럼 위장해 악성 피싱 링크를 클릭하도록 유도하는 점이 특징이다. 이례적으로 피싱 서버에 실제 대한임상건강증진학회 사이트가 그대로 사용됐으며, 대부분 대북 분야 종사자가 위협 대상에 포함된 것으로 확인됐다. 

공격에 사용된 이메일은 'webmaster@healthpro.or.kr'로 대한임상건강증진학회 실제 주소처럼 보이도록 발신지가 정교하게 조작됐다. 본문에 포함된 코로나19 백신 효능성 모니터링 설명 부분은 미국 보건복지부 산하기관인 '질병통제예방센터(CDC)'의 한국어 사이트 내용과 동일하게 구성됐다.

이메일에는 '날짜'의 북한식 표기인 '날자'라는 단어가 포함돼있으며, 명령 제어(C2)서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장수법, 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치한다고 회사 측은 설명했다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 함께 포함한 경우는 처음 목격됐다"며 "이처럼 북한 연계 사이버 위협이 갈수록 고조되고 있기 때문에 사이버 안보 강화 노력과 민관합동 차원의 유기적인 협력체제 구축이 필요하다"고 말했다.

김가은 기자 7rsilver@techm.kr