코로나19 확산으로 인해 국민적 관심과 우려가 고조되는 가운데, 이를 이용한 스피어 피싱(Spear phishing) 공격이 1일 포착됐다. 특히 이번 공격의 배후에 북한 해킹 조직이 있는 것으로 추정돼 각별한 주의가 요구된다.
이스트시큐리티는 이날 “4월 1일 오전부터 인천광역시 감염병관리지원단을 사칭해 악성 이메일 공격이 발견됐다”고 밝혔다.
연일 코로나19 확진자가 나오는 상황에 이를 관리하는 공공기관을 사칭해 사람들을 속이려 한 것이다. 해커들은 사회적 이슈를 악용, 사용자를 속이는 수법을 사용해왔다.
이번 피싱 공격은 북한의 해킹조직으로 알려진 라자루스(Lazarus)의 소행으로 추정되고 있다.
문종현 이스트시큐리티 ESRC 센터장은 “이번 공격이 기존 정부 후원을 받는 APT 조직으로 알려진 라자루스로 강하게 의심된다”며 “상세한 분석이 진행되는 중이다”고 말했다.
라자루스는 북한의 후원을 받는 해킹조직으로 통용되고 있다. 라자루스는 지난 2014년 김정은 국무위원장을 소재로 한 영화를 제작한 미국 영화사 소니픽쳐스를 공격한 바 있다.
또한, 라자루스는 코로나19 공포감과 공공기관이 주는 신뢰감 등을 활용해 사용자를 속이려 한 것으로 나타났다. 사용자들의 호기심과 심리적 공포를 자극하는 사회공학적 기법이 점점 정교해지고 있다는 게 이스트시큐리티의 설명이다.
이스트시큐리티는 “이번에 유포된 이메일은 ‘긴급 조회’라는 발신지와 함께 ‘인천광역시 코로나바이러스 대응’이라는 제목으로 유포됐다”며 “발신자 메일 주소 역시 ‘icdc@icdc.incheon.kr’로 제작해 실제 감염병관리지원단이 보낸 것처럼 꾸미고 있다”고 말했다.
이어 단체는 “공격자는 이메일 수신자에게 코로나19 확진자와 같은 집회에 참석했다는 신고가 있다는 내용을 안내하고 있다”면서 “이메일 수신자의 동선을 첨부된 양식 파일로 작성해 제출하라고 유도했다”고 설명했다.
문 센터장은 “최근 코로나19 관련 방역 활동을 대다수 국민이 인지하고 있기 때문에 국가기관을 사칭한 이메일에 사용자가 쉽게 위협에 노출될 수 있다”며 “코로나19 관련 이메일 수신 시 첨부파일 열람에 특별히 주의를 기울여야 한다”고 당부했다.
첨부파일을 열게 되면 사용자의 컴퓨터에 악성코드가 작동하게 돼 백도어(Backdoor) 등 각종 악성 파일이 몰래 설치된다. 악성 파일이 실행되면 해커가 미리 지정해둔 C2 서버로 사용자의 정보가 노출돼 잠재적인 위협이 노출될 가능성이 높아 이용자들의 주의가 필요하다.