"메일함 카드 명세서 함부로 열지 마세요" 北 배후 해킹 기승

↑ 신용카드 명세서로 위장한 피싱 공격용 실제 이메일 화면. [사진 제공 = 이스트시큐리티]

연말연시를 맞아 신용카드·시중은행 명세서를 위장한 북한 해커의 사이버 위협이 기승을 부리고 있다.
보안기업 이스트시큐리티가 2022년 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있어 각별한 주의와 대비가 요구된다고 13일 밝혔다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 벌인 것으로 드러났다.
지난 11일 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장했으며, 시중은행을 사칭한 경우도 존재했다. 공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것으로 보이지만, 실제로 첨부된 파일은 존재하지 않는다. 해당 영역을 클릭하면 악성 피싱 사이트로 연결돼 계정 정보를 입력하면 외부로 유출된다. 특수하게 조작된 코드를 이메일에 삽입했기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나는 치밀함도 보였다.

↑ 가짜 메시지 창 문장에 북한식 표현인 '오유'가 포함된 코드 화면. [사진 제공 = 이스트시큐리티]

북한 해커의 개입 정황은 ESRC가 명령 제어(C2) 서버를 분석하는 과정에서 확인됐다. '미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다'라는 문구를 포착했는데, 이때 '오유'는 '오류'의 북한식 표기법으로 알려져있다. 행위자의 평소 습관이나 언어문화 요소는 위협 배후를 찾기 위한 중요 단서로 꼽힌다.

↑ HWP 악성 문서에 사용된 가짜(아래) 메시지와 진짜(위) 메시지 팝업 화면 비교. [사진 제공 = 이스트시큐리티]

이와 함께 연말연시 기간 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있다고 ESRC 측은 전했다. 북한 내부 정보처럼 위장한 미끼 내용으로 수신자를 현혹하는 형태다. 악성 HWP 문서 파일이 열리면 '상위 버전에서 작성한 문서입니다'라는 정상 안내 메시지와 동일하게 모방한 가짜 문구를 띄우며, '확인' 버튼을 클릭하면 악성 배치 파일이 추가 작동하도록 설계했다.
문종현 이스트시큐리티 ESRC 센터장은 "올해는 대통령 선거를 비롯한 중요 국가 행사나 일정이 많은 시기인 만큼 평소 받던 이메일도 발신지나 내용을 좀 더 꼼꼼히 살펴보는 일상적 보안 수칙 준수가 중요하다"고 강조했다. 우수민 기자

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]