최근 북한인권단체 관계자 및 북한전문매체 기자 등을 대상으로 악성코드가 담긴 이메일이 유포돼 주의가 요구된다. 데일리NK가 보안업체와 해당 이메일을 정밀 분석한 결과, 이메일에 첨부된 한글파일 문서에 북한 해커들이 자주 사용하는 악성 코드가 삽입돼 있었던 것으로 파악됐다.
해당 이메일은 지난 11일 오전 8시 39분경 ‘이영찬(sorita1@naver.com)’이란 계정으로부터 전송됐으며, ‘안녕하세요 대표님.hwp’이란 제목 하에 ‘국내출장결과보고서’라고 적힌 한글파일 문서를 첨부하고 있었다. 본지 기자 1명을 포함해 일부 북한인권단체 고위 관계자 등에게 전송됐는데, 과거 탈북민 및 북한인권단체 소속 직원들을 겨냥해 무작위로 보냈던 것과 달리 특정 인물을 지정해 전송한 것으로 분석된다.
보안업체 등에 따르면, 이 같은 수법은 ‘스피어피싱(Spear Phishing)’ 해킹으로 분류된다. 가짜 인터넷 사이트를 만들어 놓고 이곳에 접속한 불특정 다수의 개인정보를 빼내는 일반적인 피싱(phishing)과는 달리, 특정인을 목표로 하는 고도화된 맞춤형 공격 수법인 것이다.
통상 스피어피싱은 지정된 공격 대상의 특정 정보를 탈취하기 위한 목적으로 사용된다고 알려진다. 악성코드에 감염된 문서를 열람할 시, 해당 PC에 있는 주요 자료들이 해커들의 서버로 자동 전송되는 방식이다.
이번에 유포된 이메일 역시 피해자가 첨부된 한글파일 문서를 열어보도록 유도한 뒤, 정보탈취 악성코드를 활성화시키려 한 것으로 보인다. 보안업체 전문가는 데일리NK에 “첨부된 한글파일 문서를 분석한 결과, 과거 북한 소행으로 판명됐던 악성코드가 심어져 있었다”고 확인했다.
이 전문가는 또 “불특정 다수를 대상으로 무작정 전송한 게 아니라, 해킹 대상을 미리 선별한 후 악성코드가 담긴 문서를 보낸 것 같다”면서 “사전에 인터넷 검색이나 별도의 해킹을 통해 피해자들의 이메일 계정을 확보했을 가능성이 크다”고 진단했다.
주목할 만 한 건 이번 스피어피싱이 앞서 북한 소행으로 분석됐던 해킹 시도에 비해 상당히 허술한 대목이 많다는 점이다. 단체 대표가 아닌 인물에게까지 ‘대표님’이란 제목의 이메일을 보냄으로써 메일을 열람하기 전 해킹을 의심해볼 만한 여지를 남겨뒀기 때문이다.
지난 3월 말 데일리NK가 보도한 스피어피싱 사례의 경우, 해커는 경찰청홍보팀을 사칭하는 등 주도면밀한 해킹 시도를 했던 바 있다. 당시 해킹 메일에 첨부됐던 파일 역시 ‘해킹 피해예방수칙.hwp’이란 제목을 달고 있어 상당수의 피해자가 파일 열람 전 별다른 의심을 하지 않았다. (▶관련기사 : 北추정 해커, ‘경찰청 홍보팀’ 사칭 악성코드 담긴 이메일 유포)
보안업체 전문가는 이번 해킹 시도가 허술함을 가장했거나, 호기심을 자극하기 위한 전략을 쓴 것 같다고 분석했다. 이 전문가는 “북한 해커들이 매번 정교한 해킹 시도를 하지는 않는다. 계속 시도하다보면 언젠가 (피해자가) 걸리겠거니 하는 생각으로 해킹 시도를 할 때가 많다”면서 “지나치게 허술한 해킹 메일을 보내 북한 소행임을 의심하지 않게 한다거나, 혹은 호기심에 메일을 열람하게끔 유도하려 한 것으로 보인다”고 지적했다.
이 전문가는 이어 “최근 악성코드는 백신을 가동해도 파악되지 않는 경우가 많다. 악성코드가 담긴 문서를 열람하더라도 즉시 해킹 피해를 감지하지 못할 수도 있다는 것”이라면서 “해커들이 한 번 공격한 이메일 계정은 언제든 추가 공격 대상이 될 수 있으므로 주의해야 한다”고 경고했다.
그러면서 그는 “그나마 해킹 피해를 줄일 수 있는 방법은 한글 프로그램을 비롯한 주요 프로그램을 최신 버전으로 업데이트 하는 것”이라면서 “다행히 최신 버전 프로그램들은 악성코드를 사전에 차단하는 기능이 있기 때문에, 프로그램 업데이트를 정기적으로 한다면 피해를 예방할 수 있다”고 조언했다.
다음은 보안 전문가들이 스피어피싱 피해 예방을 위해 권고한 보안 수칙이다.
첫째, 출처가 불분명한 이메일의 첨부 파일은 절대 열지 않는다. 출처를 알 수 없는 이메일의 첨부 파일은 열람을 지양하고, 확인이 필요한 경우 미리보기 기능을 이용해서 문서를 확인하는 것이 안전하다.
둘째, 사용 중인 문서작성 프로그램의 보안업데이트를 항상 최신으로 유지한다. 정상적인 문서 파일로 위장했으나, 실제로는 문서 파일의 취약점을 악용한 악성 파일이 빈번히 발견되고 있기 때문이다.
셋째, 신뢰할 수 있는 백신을 사용하고, DB업데이트 상태를 최신으로 유지한다. 백신프로그램과 함께 취약점 공격에 대비한 보안솔루션을 함께 설치하면, 해킹 공격으로부터 더욱 안전하게 사용자PC를 지킬 수 있다.