한국인터넷진흥원(KISA)을 사칭해 이메일 계정을 탈취하려는 시도가 발견돼 주의가 요구된다. 한국어에 능통하지만, 국내에서 거의 사용되지 않는 표현을 사용한다는 점에서 북한 해커가 배후에 있을 것이라는 지적이다.
KISA를 사칭한 해커는 지난 5일 처음 본지 편집국장에게 ‘[긴급] 개인정보 유출사건 관련 중요 알림’이라는 제목의 이메일을 보냈다.
일반적으로 통일부, KISA 등 국가기관에서 이메일을 발송할 때는 해당 조직의 도메인을 사용한다. 통일부의 경우는 ‘@korea.kr’이나 ‘@unikorea.go.kr’를, KISA는 ‘@kisa.or.kr’ 또는 ‘@krcert.or.kr’를 이용한다.
하지만 해당 이메일 주소는 ‘eunjungll03@daum.net’으로 국내 포털 사이트 계정이었다. 문의 사항 회신용으로 남긴 이메일 주소도 ‘kisa.security@gmail.com’였다. 그러나 ‘kisa.security@gmail.com’을 클릭하면 ‘eunjungll03@daum.net’으로 이메일이 전송되도록 설정돼 있었다.
국가기관에서 개인에게 안내문을 발송하면서 ‘회원님’ ‘고객님’이라고 지칭하는 점도 낯선 모습이다. 발신자, 본문 내용, 이메일 내 연락 가능한 주소 모두 피싱(Phishing)으로 의심하기 충분했다.
해당 이메일에는 “안녕하십니까. 한국인터넷진흥원입니다. 최근 웹메일 로그인 관련 취약점에 의한 개인정보 유출사건이 대대적으로 발생하고 있습니다. 회원님의 메일 계정 00000000@gmail.com에서도 해당 취약점에 의한 해킹 흔적이 발견되었습니다”는 내용이 있었다.
해킹 피해를 보았다는 불안감을 심어주어 사용자가 자신이 내리는 지시를 따르게 하려는 전형적인 수법이다.
실제 해커는 “안전한 웹메일 이용을 위하여 즉시 한국인터넷진흥원에서 제공하는 비정상적인 쿠기 삭제 봉사를 이용하세요”라는 메시지와 ‘비정상적인 쿠기 모두 삭제’라는 링크를 남겼다.
해커가 평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 사이버 위협 배후 조사에 있어 중요한 증거 지표가 된다. (▶관련기사 : ‘‘응용프로그람’을 사용해 작성된 문서’…북한 해커 또 실수?)
이번 공격에 사용된 이메일에도 해커가 평소 사용하던 맞춤법 습관이 나타난 모습이다.
북한에서 IT 관련 ‘봉사’는 특정한 서비스를 지칭하거나 서버를 가리킨다. 예를 들어 웹 호스팅(Web hosting)은 ‘웨브 대여봉사’, 웹 서버(Web server)는 ‘웨브 봉사기’, 인터넷 서비스(internet service)는 ‘인터네트 봉사’다. 이메일에 사용된 ‘삭제 봉사’는 파일 삭제를 지원하는 프로그램 또는 서비스 등의 의미로 분석된다.
해커는 ‘삭제 봉사’라는 말이 한국에서는 거의 사용되지 않는다는 점을 모르는 듯 그 뒤로 몇 차례 주고받은 이메일에도 같은 표현을 사용했다.
이메일에 사용된 ‘쿠기’는 사용자가 방문한 웹사이트에서 사용자의 브라우저에 전송하는 임시파일인 ‘쿠키(cookie)’로 보인다. 국내에서는 ‘쿠기’라는 표현 역시 거의 사용되지 않고 있다. 해커가 ‘쿠기’라는 표현을 반복적으로 사용하는 점으로 보아 해당 표현도 북한식 언어습관에서 나왔을 가능성이 있다.
이스트시큐리티 시큐리티대응센터장(ESRC) 문종현 이사는 “해당 이메일에는 북한 해커가 평소 이용하는 기법을 사용했다”면서 “다만, 악성 파일이 없어 유사성을 정확하게 설명하기에는 다소 한계가 있다”고 말했다.
특히 해커는 자신의 흔적을 남기지 않기 위해 가짜 로그인 사이트에 한 번만 접속할 수 있도록 설정하는 치밀함도 보였다.
실제, 가짜 로그인 창을 종료한 뒤 다시 한번 링크를 클릭했지만, 접속이 되지 않았다. 이에 해커에게 접속이 되지 않는다고 이메일을 보냈다.
그러자 해커는 “고객님들의 민감한 개인정보의 보호를 위해 타인이 이용 못하게 1회용 봉사를 이용합니다. 마음이 놓이지 않으시면 1개 봉사를 다시 해드릴 수 있습니다”라고 답장했다.
두 번째 보내준 이메일은 첫 번째와 형식과 내용은 같았으나 가짜 구글 로그인 팝업창 주소가 달랐다.
해커는 세 번째 이메일을 통해 “최근 xss 취약점을 이용한 공격으로 피싱 사이트에 접속만 해도 고객님의 비번이 전송되는 버그가 일어나고 있네요. 고객님도 그러한 사이트에 접속한 흔적이 있어 쿠키를 삭제해야 안전합니다. 삭제 봉사를 이용하세요”라면서 집요하게 정보입력을 요구했다.
이메일 계정정보를 입력하지 않자 해커는 “쿠기 삭제 봉사 이용하셨는지요? 의심스러운 메일 제때에 신고해주시면 감사하겠습니다”는 내용의 네 번째 이메일도 보내왔다.
여기에 실제 구글 사이트의 로그인 화면이 아닌 것 같아 정보를 입력하지 않았다고 회신하자 해커는 “고객님 본인인증 후 쿠기삭제가 가능합니다”라고 답장했다.
집요하고 끈질기게 이메일 계정정보 입력을 요구하는 모습이다.
그러나 해커는 해당 웹페이지가 구글에 ‘사기성 사이트 주의’ 화면으로 나오는 점에 대한 해명과 담당자 연락처를 묻는 질문에는 답이 없었다.
