신용카드사와 은행, 북한 내부정보 등 위장한 北 해킹 공격 연이어 발견

2022-01-13 10:25
  • 카카오톡
  • url
국내 신용카드사나 은행에서 보낸 이메일 요금 명세서로 위장한 생활 밀착형 해킹
북한 내부정보로 위장한 HWP 문서 파일에 악성코드 은닉해 스피어 피싱 공격 시도
ESRC, 개인정보 탈취 과정에서 ‘오류’의 북한 식 언어 표기법인 ‘오유’ 단어 발견


[보안뉴스 원병철 기자] 2022년 새해 들어 북한 배후 소행으로 분류된 사이버위협 활동이 증가 추세에 있어 각별한 주의와 대비가 요구된다고 보안전문 기업 이스트시큐리티가 밝혔다.


▲신용카드 명세서로 위장한 피싱 공격용 실제 이메일 화면[자료=이스트시큐리티]

지난 1월 11일에 발견된 공격 유형은 국내 신용카드사의 정상적인 요금 명세서처럼 위장한 스타일로 실제와 매우 흡사해 누구나 감쪽같이 속을 가능성이 높으며, 시중 은행을 사칭한 경우도 존재한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 위협 행위자는 특정 대북 분야 종사자를 겨냥해 해당 공격을 진행했으며, 사전에 수집한 여러 주변 정보를 활용해 생활 밀착형 표적 공격을 수행한 것으로 드러났다.

공격에 사용된 이메일을 살펴보면 마치 html 기반의 명세서 파일이 있는 것처럼 보이지만, 실제 첨부된 파일은 존재하지 않고, 해당 영역 클릭 시 악성 피싱 사이트로 연결돼 계정 정보 입력 시 외부로 유출되는 과정을 거친다.

해당 공격의 경우 특수하게 조작한 코드를 이메일에 넣어두었기 때문에 첨부파일 영역에 마우스 커서가 접근해도 피싱 사이트가 바로 노출되지 않고, 정상적인 첨부파일 다운로드 주소가 나타나도록 치밀하게 제작됐다.

피싱 공격 발신지는 162.216.224.39 IP 주소가 활용됐는데, Hide All IP VPN 서비스로 조사됐고, 명령제어(C2) 서버는 ‘bigfilemail[.]net’ 주소가 사용됐다. 이와 연관된 사이버 위협 활동은 2021년 전후로 거슬러 올라갈 정도로 오랜 기간 유사 활동이 전개 중이다.


▲가짜 메시지 창 문장에 ‘오유’ 북한 단어 포함된 코드 화면[자료=이스트시큐리티]

특히, ESRC는 C2 서버를 분석하는 과정 중 ‘미안하지만 귀하가 요청한 파일은 용량제한에 의해 오유가 발생하였습니다’라는 문구를 포착했는데, 이 문장에 포함된 ‘오유’라는 단어는 ‘오류’의 북한식 표기법으로 밝혀졌다. 이처럼 침해사고 위협 배후 조사과정에서 발견된 지표들은 행위자의 평소 습관이나 언어문화 요소로 중요한 정황 단서 중 하나다.

아울러 연말연시 기간 중 최신 HWP 악성 문서 파일도 꾸준히 발견되고 있는데, 대체로 ‘오브젝트 연결 삽입(OLE)’ 기능을 악용한 경우이다. 위협 행위자는 OLE 패키지 내부에 은닉한 16진수 코드와 파워셸(PowerShell) 명령어의 조합을 통해 ‘work3.b4a[.]app’ 서버와 통신하도록 만들었고, 주로 북한 내부 정보처럼 위장한 미끼 내용으로 수신자를 현혹했다.


▲HWP 악성 문서에 사용된 가짜(아래)메시지와 진짜(위) 메시지 팝업 화면 비교[자료=이스트시큐리티]

악성 HWP 문서 파일이 열리면 ‘상위 버전에서 작성한 문서입니다.’라는 정상 안내 메시지와 동일하게 모방해 만든 가짜 문구를 띄우고, [확인] 버튼을 클릭 시 악성 배치 파일이 추가 작동하도록 만들었다.

이스트시큐리티 ESRC센터장 문종현 이사는 “신년 들어 사이버 위협 배후가 北 소행으로 지목된 사례가 연일 발견되고 있다”라며, “특히, 올해는 대통령 선거 등 중요한 국가 행사나 일정이 많은 시기인 만큼 그 어느 때보다 사이버 안보 강화 노력이 중요한 시점”이라고 밝혔다. 또한 “평소 받던 이메일도 발신지나 내용을 좀 더 꼼꼼히 살펴보는 일상적 보안수칙 준수가 중요하고, 조금이라도 의심스럽거나 이상한 부분이 발견되면 신뢰할 수 있는 보안업체나 관계자에 통보하고 분석을 의뢰하는 등 보다 적극적인 대응 마인드가 필요하다”고 덧붙였다.

한편, 이스트시큐리티는 이와 관련된 악성 파일을 알약(ALYac) 백신 프로그램에 업데이트를 완료하고, 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 마일스톤시스템즈

    • 인콘

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 비전정보통신

    • 웹게이트

    • 현대틸스
      팬틸트 / 카메라

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 유엔브이코리아

    • (주)아이리스아이디

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 한국씨텍

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 씨엠아이텍

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 아이쓰리시스템(주)

    • 성현시스템

    • (주)씨유박스

    • 프로브디지털

    • 트루엔

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 에스카

    • 주식회사 비앤에스

    • AIS테크놀러지

    • EOC

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 탄탄코어

    • 셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • (주)일산정밀

    • 다원테크

    • 구네보코리아주식회사

    • 코스템

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 티에스아이솔루션
      출입 통제 솔루션

    • 수퍼락

    • 지엘에스이

    • 완텍

    • (주)넥스트림

    • 대산시큐리티

    • 네티마

    • 지와이네트웍스

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엠스톤

    • 메트로게이트
      시큐리티 게이트

    • 동양유니텍

    • 케이컨트롤

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기