[디지털데일리 이종현기자] 연초부터 북한발 해킹 활동이 펼쳐지고 있다는 경고가 나왔다.

13일 보안기업 이스트시큐리티는 2022년 새해부터 북한 소행으로 추정되는 사이버 위협 활동이 증가 추세라며 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 위협 행위자는 특정 대북 분야 종사자를 대상으로 국내 신용카드사의 요금 명세서를 위장한 메일을 발송했다. 사전에 수집한 주변 정보를 활용해 생활 밀착형 표적 공격을 수행했다는 것이 ESRC의 분석이다.

지난 11일 발견된 이메일은 마치 html 기반의 명세서 파일이 있는 것처럼 위장했으나 실제 첨된 파일은 존재하지 않고 해당 영역을 클릭하면 악성 피싱 사이트로 연결하는 구조를 지녔다. 계정 정보를 입력하면 외부로 데이터가 유출된다.

해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어뒀기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고 정상적인 첨부파일 다운로드 주소가 나타나도록 제작됐다.

ESRC는 공격자의 명령제어(C2) 서버 분석 과정에서 ‘미안하지만 귀하가 요청한 파일은 용량제안에 의해 오유가 발생했습니다’라는 문구를 포착했다. 오유는 오류의 북한식 표기법이다. 이와 같은 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서로 활용된다는 설명이다.

또 연말연시 최신 hwp 악성 문서 파일도 꾸준히 발견되고 있다. 악성 hwp 문서 파일이 열리면 ‘상위 버전에서 작성한 문서입니다’라는 정상 안내 메시지를 모방해 만든 가짜 문구를 띄우고, 확인 버튼을 클릭하면 악성행위가 이뤄지도록 설계했다.

이스트시큐리티 ESRC 센터장 문종현 이사는 “신년 들어 사이버 위협 배후가 북한 소행으로 지목된 사례가 연일 발견되는 추세다. 올해는 대통령 선거 등 중요한 국가 행사나 일정이 많은 시기인 만큼 그 어느 때보다 사이버 안보 강화 노력이 중요한 시점”이라고 말했다.

이어서 “평소 받던 이메일도 발신지나 내용을 좀 더 꼼꼼히 살펴보는 일상적 보안 수칙 준수가 중요하다. 조금이라도 의심스럽거나 이상한 부분이 발견되면 신뢰할 수 있는 보안업체나 관계자에 통보하고 분석을 의뢰하는 등 보다 적극적인 대응 마인드가 필요하다”라고 전했다.