북한發 해킹 기승..카드명세서로 위장하기도

이스트시큐리티 센터 경고

신용카드나 시중은행 명세서를 위장한 북한 해커의 사이버 위협이 기승을 부리고 있다. 보안기업 이스트시큐리티는 새해 들어 북한 배후 소행으로 분류된 사이버 위협 활동이 증가 추세에 있어 각별한 주의와 대비가 요구된다고 13일 밝혔다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한 해커는 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 벌인 것으로 드러났다. 특정 대북 분야 종사자를 겨냥한 공격이 많았다고 한다.

실제로 지난 11일 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장했다. 시중은행을 사칭한 사례도 존재했다. 공격에 사용된 전자우편을 살펴보면 마치 html 기반 명세서 파일이 있는 것으로 보이지만, 실제로 첨부된 파일은 존재하지 않는다. 해당 영역을 클릭하면 악성 피싱 사이트로 연결되고 계정 정보를 입력하면 외부로 유출된다. 특수하게 조작된 코드를 전자우편에 삽입했기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나는 치밀함까지 보였다.

북한 해커의 개입 정황은 ESRC가 명령제어(C2) 서버를 분석하는 과정에서 확인됐다. '미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다'라는 문구를 포착했는데, '오유'는 '오류'의 북한식 표기법으로 알려져 있다. 행위자의 평소 습관이나 언어문화 요소는 위협 배후를 찾기 위한 중요 단서로 꼽힌다.

이와 함께 최신 한글(HWP) 악성 문서파일도 꾸준히 발견되고 있다고 ESRC 측은 전했다. 북한 내부 정보처럼 위장한 미끼 내용으로 수신자를 현혹하는 형태다. 악성 HWP 문서파일이 열리면 '상위 버전에서 작성한 문서입니다'라는 정상 안내 메시지와 동일하게 모방한 가짜 문구를 띄우며, '확인' 버튼을 클릭하면 악성 배치파일이 추가 작동하도록 설계했다.

[우수민 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]