개인 노린 북한 해킹 공격도 지속 포착…지인·포털 사칭 주의

북한 해킹조직 탈륨(김수키)가 보낸 피싱메일 화면. 국내 포털 사이트를 사칭했다. / 사진=데일리NK

국내 주요 보안 기관, 병원, 기업 등을 노린 북한의 해킹 공격이 지속되는 가운데, 개인을 상대로 한 사이버 공격도 진행 중인 것으로 나타났다. 공공기관이나 기업에 대한 보안 대책을 수립하면서 개인에 향한 사이버 공격 예방에도 관심을 기울여야 한다는 지적이 나온다.

국내 한 북한인권 NGO 관계자는 최근 네이버 고객센터로부터 두 통의 안내메일을 받았다.

첫 번째 메일은 ‘Naver고객센터’라는 이름으로 ‘acception@navar.com’에서 발송됐다. 국내 유명 포털사이틀 사칭한 것으로 이메일 도메인을 ‘naver.com’으로 사용할 수 없어 유사하게 위장한 모습이다.

이메일 발신 정보가 담겨있는 헤더 파일을 분석한 결과 발신자 IP는 ‘121.78.88.94’였다.

국내 보안기업 이스트시큐리티 시큐리티대응센터(ESRC)가 지난달 북한 해커 조직 탈륨(김수키와 동일 또는 유사조직)이 APT(지능형지속위협) 공격에 사용했다고 발표한 IP주소와 같다. 당시 탈륨은 통일부와 통일연구원을 사칭해 피싱메일을 유포했다.

공격에 사용된 이메일 발신지 주소 역시 ‘​​nobody@servera94.opencom.com’으로 지난달 공격에 사용됐던 서버(servera94.opencom.com)와 같았다.

이번 네이버 사칭 이메일 공격의 배후에 북한이 있다고 볼 수 있는 상황이다.

공격 이메일은 ‘계정 아이디가 중복되었습니다’는 제목이며 ‘메일 이용 확인’이라는 링크를 클릭하도록 유도하고 있다. 링크를 클릭하면 계정정보를 입력하라는 메시지가 나온다. 계정정보를 입력하는 순간 해커에게 정보가 전달되는 구조이다. 이메일 정보를 탈취하려는 전형적인 피싱 공격이다.

피싱 공격에 사용된 가짜 사이트는 국내 한 기업의 홈페이지로 조사됐다. 북한 해커가 해당 기업의 서버를 공격거점으로 활용하고 있을 가능성이 있다.

두 번째 피싱 메일은 ‘회원님의 메일 계정이 이용 제한되었습니다’는 이름으로 왔다. 이번에는 발신자가 ‘네0ㅣ버 ’이다. 네이버라는 단어를 사용할 수 없어 숫자 ‘0’과 한글 모음’ㅣ’로 표시한 것으로 보인다. 이메일 도메인은 이전 피싱 메일과 같은 ‘navar’로 되어 있었다.

해당 메일을 분석한 결과 앞서 공격에 사용된 IP주소와 발신지 주소가 나왔다. 동일한 사람이 공격했다고 볼 수 있는 부분으로 이번 피싱 메일 역시 배후에 북한이 있음을 짐작할 수 있다.

북한 해킹조직 탈륨은 공공기관, 지인, 포털사이트를 사칭해 정치인, 정부 관계자, 대북 단체 관계자, 외교·안보 전문가들의 정보를 탈취하고 있다.

AhnLab의 시큐리티대응센터인 ASEC는 지난 15일 ‘워드 문서를 이용한 특정인 대상 APT 공격 시도’라는 제목의 글을 통해 5개 악성 문서를 공개했다.

해당 문서의 제목은 ‘[남북회담본부 정책자문위원] 약력 작성 양식’, ‘00225 한미의원대화 ***’, ‘*** 교수님’으로 외교·안보 전문가, 교수, 정치인 등을 표적으로 공격을 수행했을 가능성이 있다.

해당 문서에 사용된 외부링크를 분석한 결과 모두 탈륨과 관련이 있는 것으로 조사됐다.

ASEC이 공개한 악성 문서의 외부링크는 ‘jupit.getenjoyment.net’, ‘modri.myartsonline.com’, ‘visul.myartsonline.com’, ’ccav.myartsonline.com’, ‘tbear.mypressonline.com’이다.

‘getenjoyment.net’, ‘myartsonline.com’, ‘mypressonline.com’은 모두 이전에 탈륨이 공격에 명령 제어 서버(C2)로 활용한 적 있는 도메인이다.

ESRC는 해당 도메인과 유사한 형태의 도메인 이름이 빈번히 악용되고 있다는 점에서 기관이나 기업 등에서 사전 차단하는 것이 해킹 예방에 효과적일 수 있다고 당부하고 있다.

도한 이메일을 통한 피싱 공격을 예방하기 위해서는 발신자 주소 등을 꼼꼼히 살펴볼 필요가 있다.

‘다음’, ‘네이버’ 등 포털 사이트에서 보낸 메일에는 ‘사람’, ‘N’ 모양의 아이콘이 있다. 일반 사용자가 보낸 메일은 모두 편지 봉투 모양의 아이콘이다. 메일 앞에 있는 아이콘을 주의 깊게 보면 해커의 피싱 공격을 예방하는 데 도움이 된다.

지인이나 공공기관에서 보낸 이메일에 첨부된 파일을 무작정 열어보기보다 발신자에게 발송 여부를 확인한 후 열람을 하는 것도 해킹 피해를 방지하는 방법의 하나다.