“00카드, 00은행 보안메일”…알고보니 북한 추정 해커 공격

시중은행 보안메일을 도용한 피싱메일이 발견됐다. 공격 배후는 북한 해킹조직 탈륨으로 추정된다. /사진=이스트시큐리티 제공

북한 해킹조직 탈륨이 시중은행과 카드사의 명세서 디자인을 도용해 사이버 공격을 진행 중인 것으로 나타났다.

이스트시큐리티는 26일 보도자료를 통해 “금융거래 이메일로 위장한 표적형 해킹 시도가 급증하고 있어 각별한 주의가 필요하다”면서 “북한 당국과 연계된 해킹 조직 ‘탈륨’이 배후 세력으로 지목된다”고 밝혔다.

이스트시큐리티는 “해커는 이메일 수신 대상자의 금융거래 심리를 교묘히 자극하는 공격 방식을 사용했다”면서 “실제로 발견된 공격에서는 마치 국내 시중은행의 공식 안내메일처럼 위장해 수신자를 현혹하고 있다”고 주의를 당부했다.

실제 해커가 공격에 활용한 이메일은 시중은행에서 사용하는 보안 메일, 카드 정보 확인서와 같은 디자인으로 만들어져 있다. 이 때문에 피싱 메일 여부를 쉽게 구분하기 쉽지 않다.

피싱 메일을 구분하기 위해서는 발신자 주소 확인을 확인하거나 메일에 첨부된 링크에 연결된 URL이 실제 기관 사이트인지를 확인해야 한다. 첨부파일 확장자가 경우 EXE일 경우 피싱일 가능성이 높다. HWP, DOC. XLS 등 문서 파일일 경우 실행하지 않는 것이 가장 좋다. 지인이 보낸 이메일이더라도 발송 여부를 확인 후 파일을 실행하는 것이 피싱을 예방할 수 있는 방법 중 하나다.

북한 추정해커가 공격에 사용한 엑셀화면. 콘텐츠 사용버튼을 누르면 악성코드가 실행된다. /사진=이스트시큐리티 제공

이스트시큐리티는 “일반적인 공격에는 여전히 이메일에 악성 MS 워드(DOC) 문서를 많이 사용한다”면서 “그러나 이번에 발견된 금융회사 이메일 사칭 공격에는 악성 엑셀(XLSX) 문서가 사용됐다”고 말했다.

이스트시큐리티는 “국내 시중은행의 보안 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다’ 등의 가짜 안내 화면을 보여준다”며 “이는 전형적인 매크로 공격 방식이다”고 설명했다.

메일 수신자가 해당 화면에 속아 ‘[콘텐츠 사용]’ 버튼을 누르게 되면 악성 명령이 작동, 개인 정보 유출 돼 예기치 못한 해킹 피해로 이어질 수 있다.

특히, 한번 해킹 공격에 노출되면 지인에게 같은 내용의 공격이 전달되는 등 2차 피해가 발생할 수도 있다.

문종현 이스트시큐리티 ESRC 센터장은 “마치 금융거래나 사례비 지급처럼 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있다”며 “유사한 위협에 노출되지 않도록 각별한 주의와 관심이 요구된다”고 당부했다.

이어, 그는 “탈륨 조직의 APT(지능형지속위협) 공격 캠페인이 급증하고 있다”며 “특히 이들이 주로 대북분야에서 활동하는 인물들을 노리고 있어 관계자들의 주요가 필요하다”고 말했다.

북한 해커가 공격에 사용한 악성파일 실행 화면. ‘창조’되었다는 북한식 표현이 눈에 띈다. /사진=이스트시큐리티 제공

한편, 북한식 언어표현도 지속 포착되고 있다.

이스트시큐리티는 “최근 발견된 사례비 양식으로 위장한 이메일 첨부 악성 파일에서 북한 프로그래머가 주로 사용하는 ‘창조’라는 용어가 매크로 실행 유도 수법으로 포착됐다”며 “보통 이런 단어 표기는 국내에서 ‘창조’ 대신 ‘작성’ 또는 ‘개발’ 등의 표현으로 대체된다”고 말했다.

해커가 평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적이 공격 시 나타나는 경우가 있다. 이는 사이버 위협 배후 조사에 있어 중요한 증거 지표로 활용된다.