"메일함 카드명세서 함부로 열지마세요"

이시은 기자

입력2022.01.13 17:12 수정2022.01.14 01:33 지면A14

北 해커 공격 주의보

보안 기업 이스트시큐리티는 신용카드사 요금 명세서로 위장된 이메일이 확산 중이라고 13일 밝혔다. 배후론 북한 연계 해킹 조직이 지목됐다.

위장 메일 제목은 공격 대상자 이름이 포함된 ‘2022년 1월 명세서’다. 일반적인 신용카드사 명세서와 같은 구조다. ‘html’ 형태 첨부파일과 함께 “고객님의 명세서를 보내드립니다. 첨부파일을 클릭하세요”라는 문구가 기재돼 있다. 해커가 의도한 대로 첨부파일을 누르는 순간, 악성 피싱 사이트로 대상자를 연결해 정보를 빼내가는 원리다. 동봉된 첨부파일은 마우스 커서를 접근시켜도 사이트 주소가 노출되지 않아 사전 식별이 어렵다는 설명이다.

최신 HWP 악성 문서 파일도 꾸준히 발견되고 있다. 대체로 HWP 문서 파일을 열면 ‘상위 버전에서 작성한 문서입니다’라는 안내 메시지가 뜨고 확인 버튼을 누르면 악성 파일이 작동되는 형태다. 공격은 주로 북한 관련 업무 종사자를 대상으로 이뤄지고 있다. 이스트시큐리티의 해킹 대응 전문조직 시큐리티대응센터(ESRC)는 북한 관련 해킹 조직들을 주범으로 추정했다. 문종현 이스트시큐리티 ESRC 센터장은 “북한 소행으로 분석되는 사이버 위협이 연일 발견되는 추세”라며 “올해는 대통령 선거 등 주요 국가 행사 일정이 많은 만큼 안보 강화 노력이 중요한 시점”이라고 말했다.

이시은 기자 see@hankyung.com

관련 뉴스

1

무작정 열었다가 '해킹'…"신용카드 명세서 주의하세요"

보안 기업 이스트시큐리티는 신용카드사 요금 명세서로 위장된 이메일이 확산 중이라고 13일 밝혔다. 배후론 북한 연계 해킹 조직이 지목됐다.위장 메일 제목은 공격 대상자 이름이 포함된 ‘2022년 1월 명세서’다. 일반적인 신용카드사 명세서와 같은 구조다. 내용엔 “고객님의 명세서를 보내드립니다. 첨부파일을 클릭하세요.”라는 문구가 ‘html’ 형태 첨부파일과 함께 기재돼 있다. 해커가 의도한 대로 첨부파일을 누르는 순간, 악성 피싱 사이트로 대상자를 연결해 정보를 유출시키는 원리다. 동봉된 첨부파일은 마우스 커서를 접근시켜도 사이트 주소가 노출되지 않아 사전 식별이 어렵다는 설명이다.최신 HWP 악성 문서 파일도 꾸준히 발견되고 있다. 대체로 HWP 문서 파일을 열면 ‘상위 버전에서 작성한 문서입니다.’라는 메시지 안내가 뜨고, 확인 버튼을 누르면 악성 파일이 작동되는 형태다. 공격은 주로 북한 관련 업무 종사자를 대상으로 진행되고 있다. 이스트시큐리티의 해킹 대응 전문조직 시큐리티대응센터(ESRC)는 북한 관련 해킹 조직들을 주범으로 추정했다. 문종현 이스트시큐리티 ESRC 센터장은 “신년 들어 북한 소행으로 분석되는 사이버 위협이 연일 발견되는 추세”라며 “올해는 대통령 선거 등 주요 국가 행사 일정이 많은 만큼 안보 강화 노력이 중요한 시점”이라고 전했다. 이시은 기자
2

"북한 해커들, 암호화폐 거래소 노린다"

“‘템프허밋’ ‘UNC1130’ 같은 북한 연계 해킹조직이 타깃을 바꾸고 세력을 규합하고 있습니다. 평양 지도부 특별 지시가 있었던 것으로 추정됩니다.”스티브 레드지안 맨디언트 아시아·태평양 지역 부사장 및 최고기술책임자(CTO·사진)는 올해 한국이 주의해야 할 북한의 해킹 위협에 대해 “외교·통일 관련 비정부기구(NGO) 등 전통적 공격 대상이 다시 타깃으로 떠오르고 있다”고 3일 강조했다. 코로나19 치료와 연구 분야로 옮겨갔던 공격 초점이 새해부터 다시 변할 가능성을 예고한 것이다.나스닥시장 상장사인 맨디언트는 2004년 미국에서 설립된 글로벌 보안 컨설팅사다. 시가총액이 42억달러(약 5조원)에 달한다. 미 공군 사이버 보안 장교 출신인 케빈 맨디아 최고경영자(CEO)가 창업한 회사로, 미 국방부와 연방수사국(FBI) 출신 사이버 보안 인력을 다수 보유하고 있다. 특히 북한·중국·러시아 해킹그룹 추적 분야에서 글로벌 역량을 갖춘 것으로 평가받는다.당초 북한의 해킹 공격은 타깃이 정해져 있다는 것이 중론이었다. 외교·통일 관련 NGO와 대학·연구기관, 기술 분야로는 헬스케어 관련 기업과 기관이 주로 위협받았다. 하지만 코로나19 글로벌 확산세에 따라 지난해 새로운 움직임이 포착됐다. 국가정보원이 지난해 초 국회 정보위원회에 “북한이 국내 코로나19 백신과 치료제 기술을 해킹으로 빼내려 하고 있다”고 보고한 게 대표적이다. 같은 기간 국내 사이버 공격 시도는 하루 158만 건으로 전년 대비 32% 증가했는데, 대부분이 북한 소행으로 추정됐다.그는 “평양 지도부가 고도화한 작전부대를 창설하고 코로나19 치료제 확보 등 특별 임무를 부여했다는 것이 지난해까지 추정”이라고 전했다. 다만 이런 양상이 올해는 원점으로 회귀할 것이란 관측이다. 뚜렷한 해법이 없는 코로나19 장기화로 지난해 하반기부터 다시금 표적이 원상 복구되는 현상이 포착됐다는 것이다. 반면 해킹그룹 간 멀웨어(악성 소프트웨어) 결합 사례가 당국 지시를 거치며 새롭게 대두되고 있어 공격 기법은 올해더욱 복잡해질 전망이다.이시은 기자 see@hankyung.com
3

"내년 메타버스·NFT에 해킹 집중될 듯"

올해 아파트 월패드 해킹 등으로 입주민의 사생활이 노출되는 등 홍역을 치른 가운데 내년엔 메타버스, NFT(대체불가능토큰) 등을 대상으로 한 사이버 위협이 기승을 부릴 것이라는 전망이 나왔다.과학기술정보통신부와 한국인터넷진흥원(KISA)은 이런 내용을 담은 ‘올 한 해 사이버위협 분석과 내년 위협 전망’을 26일 발표했다.과기정통부는 내년 메타버스와 NFT, 인공지능(AI) 등 신기술 취약점을 악용한 새로운 유형의 랜섬웨어 공격이 확대될 것이라고 내다봤다. 신기술 인증 체계에 대한 허점이 있고, 설계상 보안을 고려하지 않는 부분이 많아 이를 파고들 것이란 분석이다. 월패드 해킹 같은 사물인터넷(IoT) 기기 대상 공격 역시 늘어날 것으로 전망했다.배성수 기자 baebae@hankyung.com