보안

국정원 “北, 네이버·카카오 사칭한 해킹메일 지속 발송 중”

이종현 기자
국가정보원이 공개한 네이버 사칭 해킹메일 샘플
국가정보원이 공개한 네이버 사칭 해킹메일 샘플

[디지털데일리 이종현기자] # 회사원 김모씨는 ‘비밀번호가 유출되었습니다’라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계 기관으로부터 “메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다”는 통보를 받았다. 코로나19 상황 가운데 재택근무를 위해 개인메일 계정으로 전송했던 민감 업무자료가 모두 북한으로 빠져나간 것이었다.

25일 국가정보원(이하 국정원)은 북한 해킹조직들이 대한민국 국민을 대상으로 지속적인 해킹공격을 진행하고 있다고 밝혔다. 처음으로 북한 해킹공격 관련 구체적인 통계도 공개했는데, 북한의 공격 유형 중 대부분이 해킹메일인 것으로 확인됐다.

국정원이 공개한 최근 3년 북한 사이버공격 및 피해통계에 따르면 보안 프로그램의 취약점을 이용하는 방식이 20%, 특정 사이트 접속시 악성코드가 설치되는 워터링홀 3%, 공급망을 겨냥한 공격이 2%다. 해킹메일은 74%로 대부분을 차지했다.

국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통한 해킹 공격을 한다는 것은 대한민국 국민 전체를 공격 대상으로 삼고 있다는 뜻”이라며 “기존 북한의 주요 타깃이었던 전·현직 외교안보 분야 관계자 외에 대학교수, 교사, 학생 및 회사원도 피해를 입고 있다”고 말했다.

북한 해커조직은 메일 수신자가 메일을 열람하도록 유도하기 위해 발신자명과 메일 제목을 교묘하게 변형한다. 특히 높은 비중으로 네이버나 카카오와 같은 국내 포털사이트를 사칭하는데, 네이버 사칭이 45%, 카카오(다음) 사칭은 23%, 금융기관이나 기업, 언론사 사칭은 12%, 외교안보 분야 사칭은 6%, 기타 14% 등 순으로 사칭했다.

메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’, ‘포털사이트 관리자’ 등으로 위장하는 방식이 주로 활용됐다. 발신자 메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인하도록 유도했다. 메일 수신자의 계정정보를 탈취하기 위해 열람을 유도했다.

국가정보원이 공개한 네이버 사칭 해킹메일 샘플
국가정보원이 공개한 네이버 사칭 해킹메일 샘플

메일은 ‘새로운 환경에서 로그인되었습니다’, ‘회원님의 계정이 이용제한되었습니다’, ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정보안 문제가 생긴 것처럼 위장하는 제목으로 주의를 끈다. 코로나19 대유행 시기에는 확진자 통계나 지원금 등 이슈를 이용하기도 했다.

국정원 관계자는 “북한은 해킹메일로 확보한 계정정보를 이용해 메일계정 내 정보를 탈취하고 메일함 수발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하는 중”이라며 “메일 열람시 보낸 사람의 메일주소나 메일 본문 링크, 관리자 아이콘 등을 반드시 확인해야 한다. 메일 무단열람 방지를 위한 2단계 인증 설정 등 보안 강화도 필요하다”고 당부했다.

이어서 “실효적인 해킹메일 차단을 위해서는 민간협력이 필수적이다. 네이버와 다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다”고 부연했다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널