일러스트=손민균

지난 3년간 북한 해킹 조직이 진행한 사이버공격의 74%는 이메일을 통한 피싱 공격으로 나타났다.

국정원은 2020년부터 2022년간 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해통계를 처음 공개했다고 25일 밝혔다.

북한 사이버공격 가운데 74%는 이메일을 악용한 해킹 공격인 것으로 확인됐다. 보안 취약점을 활용한 공격이 20%였으며, 특정 사이트에 접속할 때 악성코드가 설치되는 ‘워터링 홀’은 3%, 공급망을 탈취한 공격은 2%로 조사됐다.

국정원은 북한이 악성 메일을 의심 없이 읽도록 하기 위해 발신자 이름과 이메일 제목을 교묘하게 바꾸고 있다고 설명했다.

피싱 이메일의 45%는 네이버를 사칭했으며, 카카오가 운영하는 포털사이트 ‘다음’으로 위장한 이메일도 23%로 파악됐다.금융·기업·언론사(12%), 외교·안보 기관(6%)이 뒤를 따랐다.

국정원에 따르면 북한 해킹 조직은 발신자를 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 포털사이트 운영자인 것처럼 가장했다. 이들은 발신자 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표시했다.

최근 북한 해커의 발송용 계정에서 발견된 이메일 1만여 건 가운데 약 7000건이 네이버, 다음을 비롯한 국내 포털사이트를 사칭하기도 했다. 이 계정에 등록된 국내 이용자들의 이메일 주소는 4100여개에 달했다.

또 북한은 피싱 이메일에 ‘새로운 환경에서 로그인됐습니다’, ‘해외 로그인 차단 기능이 실행됐습니다’ 등 계정 보안에 문제가 생긴 것처럼 제목을 붙였다.

국정원은 이메일을 열람할 때 보낸 사람 앞에 붙어있는 ‘관리자 아이콘’, 이메일 주소, 메일 본문의 링크 주소 등을 점검하라고 당부했다.또 메일 무단열람 방지를 위해 ‘2단계 인증 설정’을 할 것을 권고했다.

국정원 관계자는 “전·현직 외교·안보 분야 관계자 외에도 대학교수와 교사, 학생, 회사원 등도 해킹 피해를 보고 있다”면서 네이버ㆍ다음 등 국내 주요 포털사이트 운영사와도 관련 정보 공유를 강화해나가겠다”라고 했다.