건강검진 미끼로 한 피싱 공격이 또…北 해커 소행으로 추정

가짜 사이트로 계정 탈취 시도하는 등 다양한 형태의 해킹 진행…사용자 각별한 주의 요구

건강검진을 미끼로 한 이메일 피싱 공격이 이뤄진 것으로 파악됐다. 사진은 실제 공격에 활용된 피싱 이메일 캡처 화면. /사진=데일리NK

건강검진을 미끼로 한 이메일 피싱 공격이 진행되고 있어 주의가 요구된다.

국내 한 북한인권단체 대표는 12일 ‘OO건강관리협회에서 고객님의 검진하신 검진 결과서가 발급되었습니다’라는 제목의 이메일을 수신했다.

이메일 발신자는 ‘OO건강관리협회’, 주소는 ‘imapper@mail_medcerti[.]com’이며 발신 IP는 ‘222.227.84.34’였다. ‘medcerti[.]com’은 OO건강관리협회 홈페이지가 아닌 병원증명서 발급 사이트였으며 발신지 IP는 일본의 이메일 서비스이다.

실제 이메일 발신자는 ‘akihito@msg.biglobe.ne[.]jp’로, 해커가 일본의 메일 서비스인 빅글로브(biglobe)를이용해 발신자를 조작해 공격 대상자를 속이려 한 것이다.

해커는 건강검진 결과를 열람하기 위해 본인인증이 필요하다면서 하단의 ‘건강검진 결과 확인 바로가기’ 버튼 클릭을 유도했다. 해당 버튼을 누르면 국내 포털사이트 로그인 화면으로 보이는 사이트로 연결된다. 해당 사이트의 주소는 ‘cood.nonghyup[.]website’로, 여기서 본인의 이메일과 비밀번호를 입력하면 그 정보가 해커에게 그대로 전달되게 된다.

특히 이 가짜 사이트 로그인 화면에서 암호를 입력하면 ‘medcerti[.]com’이라는 사이트로 넘어가는데, 이는 피해자가 해킹당했다는 사실을 인지하지 못하도록 하기 위한 해커의 전략이다.

해당 메일을 분석한 문종현 이스트시큐리티 시큐리티대응센터 이사는 데일리NK에 “피싱 기법과 이전 공격 사례들을 비교했을 때 이번 피싱 공격은 북한의 소행으로 추정된다”며 “지난 3월 건강검진을 매개로 한 공격과 같은 조직의 소행”이라고 말했다.

실제 지난 3월 병·의료원 증명서 발급으로 위장한 해킹 공격이 진행된 바 있다. 다만 당시에는 악성코드를 직접 유포하는 형태였으나 이번에는 이메일 계정을 탈취하려고 시도했다는 점에서 차이가 있다.

국내 한 신용카드사를 사칭한 이메일 피싱 공격이 진행돼 주의가 요구된다. 사진은 피싱 이메일 화면 캡처. /사진=데일리NK

한편, 카드사를 사칭한 이메일 피싱 공격도 재차 포착됐다.

실제 지난 11일 ‘[OO카드 스마트신용지킴이] 본인인증이 발생하였습니다’라는 제목으로 유포된 피싱 이메일 화면은 실제와 같은 형태를 하고 있어 사용자가 주의 깊게 보지 않는다면 자칫 피해 볼 가능성이 크다.

해당 메일은 ‘이용고객님의 명의로 본인인증이 발생하였습니다’라고 안내하며 하단의 ‘본인증바로가기’ 버튼을 클릭하도록 유도하고 있다. 버튼을 클릭하면 국내 포털사이트 로그인 화면으로 보이는 가짜 사이트가 열린다. 역시 이메일을 계정 정보를 훔치려는 목적이다.

특히 해커가 만든 가짜 로그인 사이트의 주소가 ‘http://hanacard.navceo[.]website’인 점이 눈에 띈다. 앞서 건강검진을 미끼로 한 피싱 이메일에 활용된 URL인 ‘cood.nonghyup[.]website’와 형식이 유사하다.

피해자가 해킹을 당했음을 인지하지 못하도록 계정 정보를 입력하면 실제 카드사 홈페이지를 띄우는 유사 수법을 쓰고 있는 것도 확인됐다.

이처럼 피싱의 수법이 갈수록 다양해지고 교묘해져 사용자들의 각별한 주의가 요구된다.

이메일 주소를 꼼꼼하게 살피고 해당하는 기관이나 단체, 개인에 실제 이메일을 발송한 것인지 여부를 확인하는 등의 노력이 필요하다. 만약 이메일을 열었을 때 파일 다운로드, 설치를 유도하거나 개인정보 입력을 요구하면 피싱 공격일 가능성이 크므로 이에 응하지 말고 인터넷 창을 닫는 것이 안전하다.