중학교 교사 이모씨는 ‘포털사이트 관리자’ 명의로 발송된 이메일을 열었다가 수년 간 주고 받은 이메일 내용은 물론, 클라우드에 저장된 이력서와 개인 파일들이 통째로 유출되는 피해를 입었다. 이씨가 열었던 이메일이 북한 정찰총국이 보낸 해킹용 메일이었기 때문이다.
이씨처럼 북한이 국내 인터넷 포털사이트인 네이버·다음을 사칭한 이메일을 이용해 해킹 공격을 벌이고 있는 것으로 나타났다. 국가정보원은 이같은 내용을 담은 최근 3년(2020~2022년)간 발생한 북한 해킹조직 사이버 공격 피해 통계를 25일 공개했다.
국정원에 따르면 최근 3년간 북한발 사이버 공격의 74%는 이메일을 이용한 해킹 공격이었다. 보안 취약점을 활용한 공격이 20%였고, 특정 사이트에 접속할 때 악성코드가 설치되는 ‘워터링 홀’은 3%, 공급망을 탈취한 공격은 2%다.
북한은 악성 이메일을 읽도록 하기 위해 발신자 이름과 이메일 제목을 교묘하게 바꿨다. 피싱 이메일의 45%는 네이버를 사칭했고, 카카오가 운영하는 포털사이트 ‘다음’으로 위장한 이메일은 23%였다. 금융·기업·언론사(12%), 외교·안보 기관(6%)도 사칭했다.
발신자를 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 포털사이트 운영자인 것처럼 가장했다. 발신자 이메일 주소는 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표시하는 등 이용자가 의심을 갖지 않고 무심코 클릭해 이메일을 열도록 했다.
국정원은 국내 해킹 사고 조사 과정에서 북한 해커의 해킹메일 공격 발송용 계정을 확보했다. 이 계정에는 1만여건의 해킹메일이 들어있었는데, 약 7000개가 네이버·다음을 사칭했다. 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여개도 발견됐다. 북한은 피싱 이메일에 ‘새로운 환경에서 로그인됐습니다’, ‘해외 로그인 차단 기능이 실행됐습니다’ 등 계정 보안에 문제가 생긴 것처럼 제목을 붙였다.
회사원 김모씨는 ‘비밀번호가 유출되었습니다’라는 제목의 이메일을 본 뒤 즉시 비밀번호를 변경했다가 코로나19 상황에서 재택근무를 하기 위해 개인 메일 계정으로 보냈던 민감한 업무자료를 모두 북한이 절취하는 피해를 입기도 했다.
국정원은 이 같은 북한의 공격 수법에 대해 “메일 수신자의 계정 정보를 탈취하기 위해 열람을 유도하는 사회심리공학적 피싱”이라고 했다. 이어 “해킹메일로 확보한 계정 정보를 이용해 메일 계정 내 정보를 탈취하고, 메일함 수신·발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드를 유포하는 등 공격하고 있다”고 설명했다.
국정원은 이메일을 열람할 때 보낸 사람 앞에 붙어있는 ‘관리자 아이콘’, 이메일 주소, 메일 본문의 링크 주소 등을 점검하라고 당부했다. 또 메일 무단열람 방지를 위해 ‘2단계 인증 설정’을 할 것을 권고했다. 자세한 내용은 국가사이버안보센터 홈페이지 자료실에서 확인하면 된다.