북한 추정 해커 조직이 국정원을 사칭해 본지 이메일 계정 두 곳을 피싱(phishing) 공격했다. 이번 공격은 비밀번호나 개인정보 탈취 목적이 아닌 향후 공격을 위한 사전 준비 작업인 것으로 파악됐다.
지난 3일 본지는 ‘국가사이버안전센터’가 발송한 ‘메일 점검 요청’이라는 제목의 이메일을 수신했다. 해당 메일에는 “사이버안전센터 사무관입니다. 메일이 해킹되었습니다. 비밀번호 변경하고 메일 점검 해주세요. 협조 부탁드립니다”는 내용이 담겨 있었다.
하지만 피싱 이메일을 자세히 들여다본 결과 몇 가지 수상한 점을 발견할 수 있었다.
우선은 이메일 주소에 국가기관에서 사용하지 않는 도메인이 포함돼 있었다. 국가 기관이 사용하는 이메일의 도메인이 한국 정부를 의미하는 ‘@go.kr’ 또는 ‘@kr’ 사용하지만 해당 이메일 발신 주소 도메인은 ‘@ncsc-mail.com’이었다.
이를 수상하게 생각해 해당 이메일이 발송을 승인한 IP를 ‘한국인터넷진흥원 인터넷 자원 검색 서비스(후이즈)’를 통해 추적한 결과, 발송기관이 mailchannels corporation으로 확인됐다. 이곳은 캐나다 소재 기업으로 보안, 이메일, 호스팅 관련 서비스를 제공하고 있다.
또한 이메일 내용에 포함된 사이트 링크와 안내메일도 가짜로 파악됐다.
국가사이버안전센터라는 이름의 인터넷 주소링크는 ‘ncsc-mail.com’으로 연결돼 있었다. 그러나 국가사이버안전센터는 따로 홈페이지가 없으며 국정원 홈페이지 내 웹페이지 ‘https://www.nis.go.kr:4016/ID/1_7_1.do’가 전부다.
메일에 포함된 안내메일 ‘111@ncsc-mail.com’, ‘cert@ncsc-mail.com’의 역시 사용자를 속이기 위해 만든 가짜 이메일 주소로 조사됐다. 실제 사이버안전센터에서 사용하는 이메일 도메인은 ‘@ncsc.go.kr’이다.
해커는 이메일에 국정원 기관 마크까지 삽입해 이메일에 대한 신뢰도를 높이려 했다.
해당 이메일 발송 여부에 대해 문의한 데 대해 한 국정원 관계자는 “사이버안전센터에서 보낸 이메일이 아니다”며 “해커가 보낸 것으로 추정된다”고 말했다.
실제, 보안 전문가를 통해 해당 이메일을 분석한 결과 북한 추정 해커의 소행으로 나타났다.
익명을 요구한 한 전문가는 “해당 이메일은 북한 해커 그룹 금성121 소행으로 보인다”며 “이번 메일은 계정이나 비밀번호 탈취 목적이 아닌 메일을 열람하는지 여부를 확인하려고 보낸 것으로 보인다”고 설명했다.
해커들의 공격은 즉흥적으로 이뤄지는 것이 아닌 수개월에 걸친 사전 준비 끝에 진행된다. 이번 이메일 역시 향후 피싱 공격을 위해 어떤 내용에 반응하고 메일을 열람하는지 파악하기 위한 사전준비 차원의 이메일이라는 것이 전문가의 설명이다.
한편, ‘금성 121’이 해킹 공격에 사용한 IP주소 중 일부가 평양시 류경동으로 확인된 바 있어 이 해커 조직은 북한의 지원을 받는 조직일 가능성이 높다. 또한 이 조직은 지난 2014년 한국수력원자력을 공격한 북한 해커 조직 ‘김수키(Kimsuky)’와도 직간접적으로 연결된 것으로 알려졌다.
