北추정 해커, ‘가짜 로그인사이트’로 탈북민 정보 탈취시도

탈북민·북한인권단체 관계자와 전문가 등의 이메일을 대상으로 한 ‘스피어피싱(Spear Phishing)’ 공격이 연이어 포착되고 있다. 특히 지난 11일 파악된 해킹 공격은 북한 소행으로 드러난 지난해 국방부와 외교부·통일부 등 외교안보 부처 공무원 56명 이메일 계정과 비밀번호 해킹 사례와 유사한 수법이라 각별한 주의가 요구된다.

데일리NK가 파악한 바에 따르면, 해커는 11일 오전 ‘민간공모사업관련 자료송부건’이란 제목의 이메일을 유포했다. 탈북민·북한인권단체 관계자 등 특정인을 대상으로 한 ‘스피어피싱 공격’으로, 공격 대상의 이메일 계정과 비밀번호 탈취 목적으로 보인다.

스피어피싱은 가짜 인터넷 사이트를 만들어 놓고 이곳에 접속한 불특정 다수의 개인정보를 빼내는 일반적인 피싱(phishing)과는 달리 특정인을 목표로 하는 고도화된 맞춤형 공격 수법이다. 이들이 보유하고 있는 특정 정보를 탈취하는 게 목적이다. 공격 대상의 이메일 계정과 비밀번호를 알아낸 후 가짜 인터넷 사이트에서 주고받는 이들의 이메일을 다른 이메일로 전송되게 해 이들이 보유한 특정 정보를 빼내는 것이다.

이날 파악된 공격도 이와 유사했다. 해커는 이메일을 열어본 피해자가 첨부된 ‘민간공모사업2017(최종본).hwp’이란 제목의 한글파일을 ‘클릭’하면 가짜 네이버 로그인 사이트(피싱 페이지)를 활성화시켜 ID와 비밀번호를 입력하도록 유도했다. 보안업계에 따르면 네이버 계정 정보를 탈취하기 위한 목적으로 제작된 네이버 로그인 사이트(피싱 페이지)는 2013년경부터 등장하기 시작했다.

“미안하지만 당신의 세션이 만료되었습니다. 비밀번호를 다시 확인하세요.”



▲ 해커는 첨부된 한글파일을 클릭하면 가짜 네이버 로그인 사이트(피싱 페이지)가 활성화되게 했다. 이후 피해자들이 ID와 비밀번호를 입력하도록 유도했다./사진=데일리NK

해커는 가짜 네이버 로그인 사이트에 위와 같은 문구를 삽입해 대상자들로 하여금 ID와 비밀번호를 입력하게 했다. 첨부된 대용량 파일을 열어보기 위해서는 이 같은 절차가 필요하다는 것이다. 참고로 실제 네이버 로그인 사이트에선 로그인할 때 세션이 만료되었다는 이유로 ‘미안하다’는 문구를 사용하지 않는다. 또한 ID 및 비밀번호 입력 오류시엔 “아이디 또는 비밀번호를 다시 확인하세요. 네이버에 등록되지 않은 아이디이거나, 아이디 또는 비밀번호를 잘못 입력하셨습니다”란 문구가 나온다.

지난 2일(김정은 신년사 관련)과 5일 파악된 해킹 공격(국방부 사칭)과 달리 11일 발견된 해킹 공격을 북한 해커의 소행이라고 단정 지을 순 없다. 앞서 두 사례에선 북한 해커가 기존에 사용하던 것과 거의 동일한 악성코드가 발견되면서 북한 소행이라고 확인할 수 있었지만, ‘스피어피싱’ 공격에선 그 흔적을 찾기가 쉽지 않기 때문이다.

다만 보안업계 관계자들은 이번 공격이 탈북민·북한인권단체 관계자 등을 대상으로 했다는 점과 북한 해커가 주로 사용하는 한글파일이 공격 도구로 사용되었다는 점을 미루어 볼 때 북한 해커의 소행이라는 ‘합리적 추정’을 할 수 있다고 지적한다. 지난해 외교안보 부처 공무원 56명의 이메일 계정과 비밀번호가 탈취된 것도 유사한 수법을 활용한 북한 해커의 소행으로 드러나기도 했다. 당시 대검찰청 사이버수사과는 “북한 해킹조직으로 추정되는 단체가 총 27개의 피싱 사이트를 개설해 조직적으로 범행한 사실을 확인했다”고 밝힌 바 있다.

익명의 보안업계 관계자는 12일 데일리NK에 “북한 해커의 공격인가도 중요하겠지만 더 눈여겨 봐야 될 점은 해킹 공격이 많아지고 있고 민간 영역에도 확산되고 있는 추세라는 것”이라고 말했다.

그는 이어 “해커는 탈취한 이메일 계정을 통해서 또 다른 누군가에게 해킹 공격을 가하고 있을 것”이라면서 “거의 매일 벌어지고 있는 해킹 공격을 막기 위해서 민·관 협력이 절실히 필요해졌다”고 강조했다.

보안전문가인 유동렬 자유민주연구원장 역시 “이러한 공격들은 대규모 사이버 공격을 위한 예비 작업일 수 있다”면서 “해커들 역시 대상자를 현혹시키기 위해서 지속적으로 새로운 패턴으로 공격하고 있다”고 우려했다.

해킹 공격을 막기 위한 방법으로 유 원장은 “일차적으로 개인이 경각심을 가지고 주의할 수 밖에 없다”면서도 “관계기관에서 해킹 공격 사례집 등을 만들어서 온·오프라인 통해 배포, 재발 방지를 도모해야 한다”고 강조했다.

다음은 보안 전문가들이 스피어피싱 피해 예방을 위해 권고한 보안 수칙이다.

첫째, 출처가 불분명한 이메일의 첨부 파일은 절대 열지 않는다. 출처를 알 수 없는 이메일의 첨부 파일은 열람을 지양하고, 확인이 필요한 경우 미리보기 기능을 이용해서 문서를 확인하는 것이 안전하다.

둘째, 사용중인 문서작성 프로그램의 보안업데이트를 항상 최신으로 유지한다. 정상적인 문서 파일로 위장하였으나, 실제로는 문서 파일의 취약점을 악용한 악성 파일이 빈번히 발견되고 있다.

셋째, 신뢰할 수 있는 백신을 사용하고, DB업데이트 상태를 최신으로 유지한다. 백신프로그램과 함께 취약점 공격에 대비한 보안솔루션을 함께 설치하면, 해킹 공격으로부터 더욱 안전하게 사용자PC를 지킬 수 있다.

소셜공유