북한 해킹조직이 지속해서 전문가와 포털을 사칭한 피싱(Phishing) 공격을 시도하고 있어 주의가 요구된다.
본지 이광백 대표는 지난 7일 아주대학교 미중 정책연구소의 김흥규 교수로부터 이메일을 수신했다. 이메일은 남북 통신선 연락 재개와 관련해 의견을 교류하고 싶다는 내용이었다.
이메일에는 ‘한 가지 제안 드릴렵니다’ ‘정상화 하었습니다’와 같이 오타로 추정되는 글이 많았다. 더욱이 ‘통신선 연락과 관련한 제 견해 누구보다 북한 잘 아실 대표님과 나누고 싶은데요’라는 다소 어색한 문장이 있었다.
해당 이메일의 주소를 확인한 결과 사칭 메일임을 알 수 있었다.
아주대학교 미중 정책연구소 홈페이지에 나온 김 교수의 이메일주소는 ‘bemoderate@hanmail.net’이지만 피싱 메일 주소는 ‘bemoderete@hanmail.net’이었다. 중간에 ‘a’를 ‘e’로 바꾸어 속이려 한 것이다.
해커들이 이메일 주소 중 한두 글자를 비슷한 글자로 바꿔 속이는 전형적인 수법이다. ‘j’를 ‘i’로 바꾸거나 ‘naver’를 ‘navar’ 조작하는 경우도 있다.
이메일에는 특별한 첨부파일이 없었다. 처음부터 첨부파일을 포함하면 피싱으로 의심받을 것을 염려해 사전 작업용 성격의 이메일을 보낸 것이다. 첫 번째 메일을 통해 공격 대상자의 신뢰를 확보한 후 다음에 발송하는 이메일에 악성 파일을 첨부해 보내는 전략이다. 답변을 유도한 후 악성 파일을 보내주는 형태의 피싱 공격이다.
실제, 해커에게 답장을 보내자 얼마 지나지 않아 회신이 왔다. 해커는 ‘국방전람회 관련 발제’를 준비하고 있다면서 암호로 잠겨있는 첨부파일과 비밀번호를 보내왔다.
전문가에게 분석을 의뢰한 결과 해당 문서는 악성 파일로 확인됐다.
문종현 이스트시큐리티 시큐리티대응센터 센터장은 데일리NK에 “해당 공격은 북한 해킹 조직 탈륨의 스모크 스크린 캠페인 일환이다”면서 “악성코드를 설치해 사용자의 정보를 탈취하기 위한 목적이다”고 설명했다.
탈륨은 북한 정찰총국의 지휘를 받고 있으며 김수키(Kimsuky)와 동일 조직으로 알려져 있다.
해커가 보내준 암호로 문서를 열면 ‘남북통신선 복원과 의미’라는 제목의 글이 나온다. 문서는 작성자 이름과 아주대학교 미중 정책연구소 로고가 담겨있다. 공격대상자가 문서를 열어봤을 때 피싱으로 의심하게 하지 않게 하기 위해 실제 문서를 이용한 것이다. 다만, 해당 문서가 실제 아주대학교 미중 정책연구소에서 생산한 것인지 여부는 정확히 확인되지 않았다.
여기에 해커는 ‘전번 좀 남겨주실 수 없으세요’라는 말도 덧붙였다. 휴대전화를 공격하기 위해 전화번호를 요구하는 것으로 분석된다.
또한, 포털 사이트를 사칭한 공격도 계속되고 있다.
이 대표는 지난 6일 ‘회원님의 메일 백업 요청이 접수되었습니다’라는 제목의 이메일을 수신했다. 발신자는 ‘N-보안’이라는 이름으로 네이버 고객센터를 사칭하려 한 것으로 보인다. 이메일 본문도 네이버 고객센터와 유사한 모양으로 꾸몄다. 그러나 이메일 주소가 ‘protector@rec12over.ce27nterer59.com’으로 네이버 고객센터와 거리가 멀어 보였다.
본문에 있는 ‘예’, ‘아니오’ 버튼 중 어느 것을 누르더라도 같은 주소로 연결되며 계정 정보를 입력할 것을 요구한다. 해커는 연결 URL을 단축해 실제 주소를 확인할 수 없게 했다. 연결 링크를 확인해 피싱 여부를 파악하지 못하게 하기 위한 의도로 보인다.
전문가에 따르면 해당 피싱 이메일 역시 북한 해커의 소행으로 추정된다.
‘다음’, ‘네이버’ 등 포털 사이트에서 보낸 메일에는 ‘사람’, ‘N’ 모양의 아이콘이 있다. 일반 사용자가 보낸 메일은 모두 편지 봉투 모양의 아이콘이다. 메일 앞에 있는 아이콘을 주의 깊게 보는 것도 해커의 피싱 공격을 예방하는 데 도움이 된다.
