연휴 막바지 ‘정부 지원 해커’ 동시다발 공격…배후에 북한?

특정정부의 지원을 받는 해킹시도에 대한 구글의 경고문. / 사진=데일리NK

추석 연휴 마지막 날인 지난 4일 본지 대표 이메일과 국내 북한인권 시민단체를 동시에 노린 해킹 공격이 포착됐다.

본지 대표 메일 계정의 보안 알림에 “정부의 지원을 받는 비밀번호 도용 시도가 감지됐다”라는 문구가 안내됐다. 특정 정부의 지원을 받는 해커가 이메일의 비밀번호를 도용하기 위한 해킹 공격을 시도하고 있다는 의미다.

경고문은 “Google에서 정부 지원 해킹 공격자의 비밀번호 도용 시도를 감지한 것으로 보인다”며 “이는 Gmail 사용자 중 0.1% 미만이 경험하는 현상이다”고 했다.

그러면서 경고문은 “Google이 공격을 감지한 방법을 공개하면 공격자가 그에 따라 전략을 변경할 수 있음으로 해당 내용을 밝힐 수는 없다”며 “공격자가 비밀번호 도용에 성공하면 사용자의 데이터에 액세스하거나 사용자의 계정으로 다른 활동을 취할 수 있다”고 주의를 당부했다.

일반적으로 특정 정부의 지원을 받는 해킹조직은 중국, 러시아, 북한 등을 가리킨다.

데일리NK는 창간 이후 지속해서 북한 해커들의 표적이 되어 왔다. 최근에도 북한 해킹 조직으로 알려진 ‘탈륨’, ‘금성 121’등이 본지를 향해 피싱(Phishing) 공격을 수행한 바 있다. 이에 이번 이메일 해킹 시도 역시 배후에 북한이 있을 가능성이 제기된다. (▶관련기사 : 교묘해지는 北해커 피싱 공격…이번엔 ‘후원’ 미끼로 시민단체 공격)

국민통일방송이 특정정부의 지원을 받는 해킹 조직의 공격의 대상일 수 있다는 구글의 경고 표시. /사진=국민통일방송 제공

특정 정부의 지원을 받는 해킹조직은 같은 날 국내 북한인권 단체 ‘국민통일방송’ 대표 메일도 해킹을 시도했다. 국민통일방송을 공격한 시간과 데일리NK를 공격한 시간이 분 단위까지 동일한 점으로 미뤄보아 같은 조직이 동시에 해킹을 시도한 것으로 보인다.

구글은 5일 국민통일방송에 ‘정부 지원 공격 알림’ 이메일을 통해 “잠재적인 정부 지원 공격에 대한 주의할 것”이라고 전했다.

국민통일방송의 보안 안내 창에는 “공격자가 000@uni-media.net에 대한 계정도용을 시도 중일 가능성이 있다”면서 “국민통일방송이 특정 정부가 지원하는 공격의 대상일 수 있다”고 안내했다.

구글의 ‘정부 지원 해킹 조직 알림’ 문서는 “조직 내 사용자가 정부 지원 해킹 공격의 피해자일 가능성이 있는 것으로 감지되면 조직의 관리자에게 이메일이 전송된다”며 “이 경고를 받았다면 특정 정부의 지원을 받는 공격자가 귀하의 계정이나 컴퓨터를 손상 시키려고 시도했을 수 있다”고 설명했다.

구글은 또 “이러한 활동에는 유해한 첨부파일, 악성 소프트웨어 다운로드 링크, 비밀번호를 알아내기 위한 목적의 가짜 웹사이트 링크가 포함된 이메일을 사용자가 수신한 활동이 포함된다”며 “공격으로부터 사용자 계정을 보호하기 위한 조치를 취해야 한다”고 주의를 당부했다.

이에 대해 문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 “이메일 사용자가 실제 피싱 메일을 이미 받았거나 해커의 공격 징후가 있어 경고 메일을 보냈을 것으로 파악된다”며 “비밀번호 변경이나 2단계 인증 같은 보안 강화 조치를 취할 필요가 있다”고 말했다.