‘경찰청 홍보팀’을 사칭한 해커가 악성코드가 담긴 이메일을 유포한 정황이 파악돼, 경찰이 수사에 나선 것으로 알려졌다. 북한 해커가 사용한 방법이 그대로 사용됐다는 점에서 북한이 ‘정보 탈취’를 목적으로 ‘경찰청 홍보팀’을 사칭하는 수법까지 강구한 것 아니냐는 우려가 나온다.
28일 데일리NK가 파악한 바에 따르면, 지난 27일 오전 9시에서 11시 사이 ‘해킹 피해 예방수칙’이란 제목의 이메일이 유포됐다. 탈북민·북한인권단체 관계자 등 특정인을 대상으로 한 ‘스피어피싱(Spear Phishing)’으로, 공격 대상의 이메일 계정과 비밀번호를 탈취하기 위한 것으로 보인다.
스피어피싱은 가짜 인터넷 사이트를 만들어 놓고 이곳에 접속한 불특정 다수의 개인정보를 빼내는 일반적인 피싱(phishing)과는 달리 특정인을 목표로 하는 고도화된 맞춤형 공격 수법이다. 이들이 보유하고 있는 특정 정보를 탈취하는 게 목적이다.
이날 파악된 공격도 이와 유사했다. 해커는 이메일을 열어본 피해자가 첨부된 ‘해킹 피해예방수칙.hwp’이란 제목의 한글파일을 열람할 경우 정보탈취 악성코드를 활성화시켜 사용자 PC의 중요한 문서들이 ‘클라우드 서버’로 전송되도록 했다.
해커는 메일을 보낸 사람을 “경찰청홍보팀<hong93@police.ac.kr>으로 설정, 대상자들이 메일을 의심 없이 열어보게 유도했다. 또 메일에는 “안녕하십니까, 경찰청은 인터넷상에서 사이버 범죄에 대한 집중단속과 관련하여 ‘해킹 피해예방수칙’을 배포합니다”란 내용도 담았다.
실제로 한글파일을 클릭하면 ‘5대 악성 사이버 범죄, 피해예방수칙’이란 문서가 활성화되기도 한다.
이와 관련 경찰청 홍보팀 관계자는 28일 데일리NK에 “해당 메일을 보낸 적이 없다”면서 “경찰청은 도메인 ‘ac.kr’이 아닌 ‘go.kr’을 쓴다”고 밝혔다.
보안업계 전문가는 “이번 공격이 탈북민·북한인권단체 관계자 등을 대상으로 했다는 점과 북한 해커가 주로 사용하는 한글파일이 공격 도구로 사용되었다는 점을 미루어 볼 때 북한 해커의 소행이라는 ‘합리적 추정’을 할 수 있다”고 지적했다.
다음은 보안 전문가들이 스피어피싱 피해 예방을 위해 권고한 보안 수칙이다.
첫째, 출처가 불분명한 이메일의 첨부 파일은 절대 열지 않는다. 출처를 알 수 없는 이메일의 첨부 파일은 열람을 지양하고, 확인이 필요한 경우 미리보기 기능을 이용해서 문서를 확인하는 것이 안전하다.
둘째, 사용 중인 문서작성 프로그램의 보안업데이트를 항상 최신으로 유지한다. 정상적인 문서 파일로 위장했으나, 실제로는 문서 파일의 취약점을 악용한 악성 파일이 빈번히 발견되고 있기 때문이다.
셋째, 신뢰할 수 있는 백신을 사용하고, DB업데이트 상태를 최신으로 유지한다. 백신프로그램과 함께 취약점 공격에 대비한 보안솔루션을 함께 설치하면, 해킹 공격으로부터 더욱 안전하게 사용자PC를 지킬 수 있다.