“5월 이용대금 명세서입니다”…알고보니 北해커 추정 피싱 메일

국내 카드사로 위장한 해킹 메일 발견돼 각별한 주의 요구…북한 소행으로 추정

북한 해커가 보낸 것으로 추정되는 피싱 이메일 화면. 국내 카드사의 이용대금 명세서로 위장했다. /사진=데일리NK

국내 카드사의 이용대금 명세서로 위장한 북한 추정 해커의 피싱(Phishing) 공격이 포착돼 주의가 요구된다.

4일 국내 신용카드사의 이용대금 명세서로 위장한 피싱 공격이 발견됐다. 실제 카드사의 명세서와 같은 형태를 하고 있어 사용자가 주의 깊게 보지 않는다면 자칫 피해 볼 가능성이 크다.

공격에 사용된 이메일의 발신자는 ‘NH농협카드’로 주소는 ‘nonghyup@nonghyups[.]com’이다. 그러나 실제 농협의 이메일 도메인은 ‘s’가 빠진 ‘@nonghyup[.]com’이다. 이메일 ID는 ‘nonghyup’이지만 뒤쪽에 있는 도메인은 ‘nonghyups’로 돼 있는 모습을 확인할 수 있다.

피싱 메일 발신지는 ‘222.227.84.50’ IP 주소가 활용됐으며 일본의 빅글로브(biglobe) 서비스를 이용했다. 해커가 일본에서 서비스 중인 이메일 계정을 이용했지만, 발신자를 위조해 공격 대상자를 속이려 한 것이다.

이메일에는 첨부파일이 있지 않고 아래쪽에 ‘확인하기’라는 링크가 있다. 해당 링크 주소는 ‘nid.nonghyp.com-checking[.]link’로 실제 농협의 인터넷 주소인 ‘nonghyup’에서 ‘u’가 빠진 형태다. 해커가 링크를 자세히 보는 사람들을 속이기 위해 치밀하게 준비한 모습이다.

첨부파일을 클릭하면 피싱 사이트로 연결된다. 피싱 사이트는 국내 포털로 위장했다 / 사진=이스트시큐리티 시큐리티대응센터 제공

이 링크를 클릭하면 비밀번호를 재확인하겠다면서 포털사이트 계정정보를 요구한다. 이때 정보를 입력하면 내용이 해커에게 전달된다. 악성코드를 설치하려는 의도보다 메일 계정을 탈취하려는 시도로 보인다.

신용카드사와 은행의 일반적인 요금 명세서처럼 위장한 해킹 공격은 최근 몇 달간 연달아 포착되고 있다. 특히 지난 1월 국내 유명 카드사로 사칭한 공격에서는 피싱용 서버에서 ‘오류’의 북한식 표기법인 ‘오유’라는 단어가 포함된 문장이 발견되기도 했다.

해킹메일을 분석한 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “공격에 사용된 피싱 서버 도메인이 과거 북한 해커들이 이용했던 곳과 유사성이 높다”면서 “이번 공격은 올해 초 언론사와 방송국 기자들을 대상으로 이뤄진 무작위 피싱 공격과도 연결된다”고 말했다.

지난 2월 국내 방송사와 기자를 대상으로 한 피싱 공격이 있었다. 당시 공격에는 북한에서 사용하는 ‘현시’라는 단어가 사용됐으며 ‘Freehunter’라는 계정이 발견됐다. ‘Freehunter’ 계정은 과거 북한 해커의 공격에서도 사용된 바 있다. (▶관련 기사 바로가기: 북한 추정 해커, 지상파·언론사 기자 대상 무작위 ‘피싱 공격’)

이번 농협 사칭 공격도 ‘Freehunter’ 계정과 관련 있다는 게 문 센터장의 설명이다.

문 센터장은 “북한 해커들의 공격이 계속되고 있어 사이버안전에 각별한 주의를 기울여야 한다”면서 “평소 받던 이메일이나 유명 기관, 기업의 안내 메일로 좀 더 꼼꼼히 살펴봐야 한다”고 말했다.

북한 피싱
북한 인권 단체 관계자를 사칭한 피싱 메일 화면. 첨부파일 제목과 타이틀 태그가 다르다. 이 때문에 해당 위치에 마우스를 올리면 파일제목과 타이틀이 다른게 표시된다(붉은색 상자). / 사진=데일리NK

한편, 북한인권단체 관계자를 사칭한 이메일도 뒤늦게 발견됐다. 전문가에 따르면 해당 피싱 메일의 배후 역시 북한으로 추정된다.

실제 이광백 데일리NK 대표는 지난 4월 ‘윤석열 당선인에게 보낸 건의안(보안)’이라는 메일을 수신했다. 해당 메일은 국내 한 북한인권단체의 대표자 명의로 발송됐다. 공격에 사용된 이메일에는 첨부파일이 있는 것처럼 보이지만 실제로 파일이 첨부되지는 않았다. 그러나 사용자가 첨부파일 부근을 클릭하면 악성 피싱 사이트로 연결된다.

해커는 사용자가 피싱 사이트임을 눈치채지 못하게 URL을 단축하는가 하면 ‘북한 주민에 의한 북한 변화’라는 파일명으로 클릭을 유도하는 치밀한 모습을 보였다.