[일요서울 | 신유진 기자] 최근 금융거래 이메일로 위장한 표적형 해킹 시도가 급증하고 있어 각별한 주의가 필요하다.

26일 금융업계 등에 따르면 북한 당국과 연계된 것으로 알려진 ‘탈륨’ 해킹 조직의 국내 사이버 위협 활성도는 지속적으로 증가하는 추세다.

앞서 탈륨은 이달 진행됐던 한미정상 회담 기간에도 외교‧안보‧통일 및 대북 분야 전문가를 상대로 해킹 시도를 한 정황도 드러난 바 있다.

해당 조직은 이메일 수신 대상자의 금융거래 심리를 교묘히 자극하며 공격을 하는 것으로 나타났다. 실제 이들의 공격 정황을 살펴보면 국내 시중은행의 공식 안내메일처럼 위장하거나 설문지 응답 및 세미나 참석에 따른 소정의 사례비를 준다는 등 이메일을 받은 수신자들을 현혹하고 있다.

또한 해킹 시도가 어려운 대상자들에게는 사전에 이메일을 정상적으로 수차례 발송하며 안심시킨 후 공격을 시도하기도 했다. 이는 시간이 갈수록 공격의 치밀함 및 대담성이 높아지고 있다는 것으로 볼 수 있다.

특히 이번에 발견된 금융회사 이메일 사칭 공격의 경우 악성 엑셀(XLSX) 문서가 사용됐다. 평소 일반적인 공격에는 이메일에 악성 MS 워드(DOC) 문서를 사용한 것과 비교하면 달라진 형태다.

이번에 사용된 엑셀 문서는 국내 시중은행의 보안 명세서로 위장됐다. 이 문서를 실행하면 악성 매크로 코드 실행 유도를 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다’ 등 가짜 안내 화면을 보여주는 등의 전형적 매크로 공격 방식이 사용됐다.

메일 수신자는 진짜 같은 가짜 명세서 화면에 속아 ‘콘텐츠 사용’ 버튼을 누르게 된다면 악성 명령이 작동돼 개인 정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있다.

응용소프트웨어 개발‧공급업체인 이스트시큐리티의 김진욱 커뮤니케이션팀 팀장은 일요서울과의 전화통화에서 “피해 확산을 막기 위해 제일 중요한 점은 발신자의 주소를 꼭 확인해야 한다. 이런 해커들은 교묘하게 기업 이름을 한 글자 바꾸는 등의 수법을 사용한다”며 “본인과 관련이 없는 곳에서 모르는 사람한테 메일이 왔다면 첨부파일을 절대 열지 말아야 한다”고 당부했다.

문종현 이스트시큐리티 이사는 “마치 금융거래나 사례비 지급으로 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있어 유사한 위협에 노출되지 않도록 각별한 주의와 관심이 요구된다”고 말했다.