최근 청와대 국가안보실과 백승주 국회의원을 사칭한 피싱(Phishing) 메일이 유포돼 주의가 요구되는 가운데 본사 기자를 사칭해 대북 단체장들에게 피싱 메일이 발송되는 사건도 발생했다.
데일리NK는 31일 오전 본사 강미진 기자의 명의로 이광백 국민통일방송·데일리NK 대표와 김승철 북한개혁방송 대표에게 피싱 이메일이 발송된 것을 확인했다.
이 대표가 공개한 이메일에는 발신자가 ‘강미진<mj*****@***-*****.net>’으로 되어 있는데 이는 실제 강 기자가 사용하는 회사 이메일 계정이다. 공격자는 실제 사용하는 이메일 계정으로 발신자를 조작해 공격대상자들의 경계심을 낮추려 했던 것으로 보인다.
국내 보안 업체 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 이사는 이날 데일리NK에 “이번 피싱 메일은 실제 회사 메일 서버를 통해 발송된 것이 아니다”며 “한국의 다른 영세 사이트를 해킹해 발신자를 조작한 것으로 판단된다”고 말했다.
이번 피싱 메일은 ‘국회 국방위보고서 본문’이라는 제목으로 “본 문서는 대외비이므로 본인인증을 해야 합니다”는 내용을 담아 발송됐다.
분석 결과, 메일의 첨부파일은 실제 첨부된 파일이 아니고 해당 부분을 클릭하면 네이버 보안 인증을 위장한 새로운 창이 나타난다.
해커가 이메일에 ‘대외비’라는 것을 강조하며 보안 인증이 나타날 것이라는 점을 사전에 암시, 공격대상자들이 새 창에 암호를 입력하는 것을 의심하지 않도록 치밀하게 준비한 것으로 보인다. 새로운 창에 나타난 네이버 보안 인증 창에 암호를 입력할 시 이를 탈취하는 방식이다.
문 이사는 “이번 공격의 핵심은 공격대상자의 이메일 비밀번호를 탈취하는 데 있는 것으로 보인다”며 “그동안 해커가 공격대상자에게 첨부파일을 이용해 지속해서 해킹을 시도했는데 성공하지 못하자 공격방식을 다양하게 사용하고 있는 것”이라고 설명했다.
이어 그는 “발신자 조작은 간단한 기술로 해커들은 공개된 사이트를 통해 정보(이메일 주소 등)를 수집해 공격대상자를 현혹한다”며 “메일 주소만 보고 방심하는 경우가 많아 세심한 주의가 요구된다”고 당부했다.
한편, 같은 날 오후 피싱 메일을 분석하던 중 이번에는 동일한 메일이 이광백 국민통일방송 대표의 메일 계정으로 속여 강미진 기자에게 발송됐다.
같은 날 몇 시간 차이를 두지 않고 사칭 메일을 비슷한 사람에게 보내고 있는 셈이다. 해커들이 대북단체 관계자들의 메일 비밀번호를 탈취하기 위해 상당히 많은 시도를 하는 것으로 보인다.