북한 추정 해커가 서울유엔인권사무소를 사칭해 NGO를 피싱(Phishing) 공격을 한 정황이 포착됐다. 여기에 해커들이 국내 대형 포털 사이트로 위장한 공격도 계속하고 있어 주의가 요구된다.
북한인권 단체 성공적인통일을만들어가는사람들(PSCORE)은 21일 피싱으로 의심되는 메일을 수신했다며 본지에 제보했다.
남바다 PSCORE 사무국장은 데일리NK에 “서울유엔인권사무소로부터 이메일을 수신했으나 유엔에서 사용하지 않는 도메인으로 발송됐다”면서 “해킹 시도로 의심된다”고 전했다.
해당 메일은 수신자가 서울유엔인권사무소로 되어 있으며 이메일 주소는 ‘seoul@ohchr.net’이다. 이메일주소 옆에는 ‘via upg-023:cafe24.com’이 표시돼 있다. 이메일 발송주소가 ‘seoul@ohchr.net’이 아닌 ‘upg-023:cafe24.com’이라는 이야기이다.
또한, 유엔인권최고대표사무소의 이메일 도메인은 ‘ohchr.org’이다. 이메일 본문 하단에 단체정보에도 ‘seoul@ohchr.org’로 표기돼 있다. 해커가 이메일 정보를 바꾸면서 본문의 단체정보는 변경하지 않은 모습이다.
실제, 이메일을 분석한 결과 대표적인 북한 추정 해킹 조직의 소행으로 나타났다.
문종현 이스트시큐리티 시큐리티대응센터장(ESRC)은 “이메일에 MS워드 매크로 기능을 이용한 악성 파일이 첨부돼있다”면서 “악성 MS워드 문서가 열려 매크로 코드가 실행되면 공격자가 지정한 명령제어 서버로 통신을 진행한다”고 전했다.
문 센터장은 “전형적인 매크로 공격 기법을 사용하고 있지만 분석 방해 목적으로 내부 명령어 문자열을 난독화해 사용한 것이 특징이다”며 “공격자의 의도에 따라 다양한 컴퓨터 정보가 유출될 수 있는 위험에 노출된다”고 설명했다.
일반적으로 워드 문서를 열었을 때 상단에 보안경고 메시지가 나오면서 악성 매크로를 차단한다. 그러나 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동된다.
이어 그는 “특히 공격자는 작업 스케줄러에 명령제어 서버 주소를 등록해 정기적으로 공격자 명령을 받도록 설계해뒀다”며 “이런 점 등이 기존 북한 해킹 공격 스타일과 동일하다”고 덧붙였다.
한편, 북한 해커들의 대형 포털 사이트로 사칭한 공격도 포착됐다.
과거 데일리NK에 근무했던 한 직원은 지난 19일 ‘김OO님이 [손OO 칼럼] 전기 부족으로 마비되는 북한 휴대폰 기지국 모임에서 사진, 동영상을 함께 보고싶어합니다!’라는 제목의 이메일을 수신했다.
이메일에서 언급된 ‘손OO’ 역시 과거 본지에서 근무했던 기자다. 공격대상자를 속이기 위해 함께 일했던 동료의 이름을 언급하면서 접근한 모습이다. 여기에 북한 내부 정보인 것처럼 내용을 속여 공격대상자의 호기심을 자극한 모습도 눈에 띈다.
그러나 이메일을 자세히 살펴보면 의심스러운 부분이 있다. 우선, 이메일 주소 전체가 표시되지 않고 ‘kkw3****@navergroup.com’이라고 나온다. 이메일 도메인 역시 ‘naver.com’이 아닌 ‘navergroup.com’이다.
‘네이버’ ‘서울유엔인권사무소’와 같이 유명하고 익숙한 이름에도 조금만 의심을 가지고 들여다보면 의심스러운 부분을 충분히 찾을 수 있다.
전문가들도 지인이나 유관기관에서 보낸 이메일일지라도 주소, 내용, 발송 여부 등을 확인하는 습관을 지닐 필요가 있다고 조언하는 이유다.
해당 메일 속 링크를 클릭하면 네이버 로그인 창이 나타난다. 여기에 계정 정보를 입력하면 내용이 해커에게 그대로 전달된다. 첨부파일 열람을 핑계로 개인정보나 로그인을 유도하면 일단 의심하고 창을 닫는 것이 안전하다.
올해 북한 해킹 조직이 다양한 패턴과 전략으로 공격을 시도하고 있어 보안을 지키기 위한 각별한 주의가 요구된다.