[twenty20 img1=”276567″ img2=”276566″ offset=”0.5″ before=”2021년 2월 피싱메일 화면” after=”2021년 3월 피싱메일 화면” hover=”true”]
북한 해커가 지난달 사용한 피싱 메일의 북한식 용어 표기를 한국식으로 바꿔 재공격을 시도하는 것으로 나타났다.
지난 5일 본지 편집국장은 ‘통일부’로부터 ‘조선노동당 제8차 대회 분석(2)’이라는 제목의 이메일을 받았다. 해당 메일은 지난달 북한 해커들이 유포한 통일부 사칭 메일과 발신자, 형식 등이 완전히 일치했다.
본지가 해당 메일을 보안 전문가에게 분석을 의뢰한 결과도 지난달 통일부를 사칭해 유포된 피싱 메일과 동일한 것으로 나타났다.(▶관련기사 : ‘월간 북한 동향’ 문서 알고 보니 ‘피싱’…北 해커 통일부 사칭 공격)
문종현 이스트시큐리티 ESRC 센터장은 8일 데일리NK에 “해당 메일은 탈륨(Thallium)으로 알려진 북한 연계 사이버 공격 조직이 지난달 통일부를 사칭해 유포된 것과 동일하다”며 “다만 이전에 이메일에 나타났던 북한식 표현이 한국식으로 바뀐 점이 눈에 띈다”고 말했다.
지난달 북한 해커들이 사용한 이메일 제목은 ‘조선로동당 제8차 대회 분석(2)’이었으며 본문에는 ‘조선로동당 제8차 대회 분석(2) 경제 및 사회 문화 분야’라는 표현이 있었다.
그런데 이번 피싱 메일에는 제목이 ‘조선노동당 제8차 대회 분석(2)’으로 본문은 ‘조선노동당 제8차 대회 분석(2) 경제 및 사회 문화 분야’로 바뀌었다.
앞서, 본지는 피싱 메일에 북한식 표현이 있으며 두음법칙을 사용하지 않는 해커의 평소 언어 습관이 나타난 것이라고 지적한 바 있다.
북한 해커들이 국내 언론을 모니터링하고 일부 내용을 수정한 뒤 다시 공격에 활용한 모습이다.
문 센터장은 “해커들이 일부 표현만 바꾼 뒤 피싱 이메일을 다시 유포하고 있다”면서 “북한 관련 정보를 다루는 분들의 주의가 필요하다”고 당부했다.
북한 해커들은 사회공학 기법(Social Engineering)을 활용해 지인, 뉴스 등을 미끼로 공격 대상자를 현혹하고 있다. 사회공학 기법을 이용한 해킹은 시스템이 아닌 사람의 취약점을 공략해 정보를 탈취하는 방식이다.
해커에게 이메일 발신자나 주소 조작은 어렵지 않은 일이다. 이에, 발신자 이름이나 주소만 가지고 이메일을 신뢰해서는 안 된다. 실제 발신자에게 발송 여부를 확인하고 이메일을 열람하는 것만으로 피싱 피해를 상당히 줄일 수 있다.
발신자 조작뿐만 아니라 정부 공식 보고서, 분석자료, 북한 내부 정보 제공, 후원 등을 미끼로 사용하는 경우도 있으며 때로는 탈북민의 어려운 사정을 내세우며 감정에 호소하는 공격을 시도하기도 한다.
한편, 메일의 통일연구원(KINU) 문서는 실제 첨부파일이 아닌 URL 링크다.
해당 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 암호 입력을 요구하는 화면이 나타난다. 여기에 암호를 입력하게 되면 해당 정보가 공격자에게 유출된다. 이럴 경우 해커의 후속 공격에 메일이 활용될 수 있어 각별한 주의가 필요하다.
