통일부 사칭 피싱 메일 유포…北 해커, 기자·대북단체 전방위 공격

실제 통일부가 발송하는 이메일과 유사하게 꾸며 해킹…포털 계정 및 암호 탈취 목적

북한 해킹 통일부
통일부를 사칭한 피싱 메일. 메일 발신자의 도메인지 실제 통일부가 사용하고 있는 것과 다르다. /사진=데일리NK

통일부를 사칭한 피싱 메일이 유포돼 주의가 요구된다.

데일리NK는 10일 통일부를 사칭해 ‘[월간북한동향] 2022년 3월호’라는 제목으로 피싱 메일이 유포된 것을 확인했다. 해당 피싱 메일의 발신자 이메일 주소는 ‘nk_uniform@unikorea.co.kr’로, 정부기관에서 사용하는 도메인 ‘go’ 대신 ‘co’를 사용한 것으로 파악됐다.

해당 피싱 메일에는 실제 통일부가 발송하고 있는 메일에 쓰이는 이미지가 삽입돼 있으며, 하단에는 관련 문서파일이 첨부된 것처럼 보이게 URL 링크를 올려두고 있어 수신자의 클릭을 유도하고 있다.

북한 해킹 네이버
통일부를사칭한 피싱 메일. 하단의 첨부파일을 클릭하면 국내 포털사의 로그인창으로 위장된 사이트로 연결된다. /사진=데일리NK

그러나 이 링크를 클릭하면 문서파일이 열리지 않고 국내 한 포털사의 로그인 화면으로 위장된 사이트로 연결된다. 해커는 세션이 만료된 것처럼 메시지를 띄워 암호 입력을 요구한다. 메일 수신자를 속이기 위해 치밀하게 준비한 모습이다. 이때 무심코 암호를 입력하게 되면 해당 정보가 해킹 공격자에게 유출된다.

공격자는 암호를 탈취한 후 메일 수신자가 해킹 피해 사실을 인지하지 못하도록 메일에 언급된 ‘월간북한동향’이라는 문서를 보여준다.

메일 수신자가 해킹 사실을 인지하지 못하면 해커가 계속해서 정보를 훔쳐갈 수 있다. 또 차후 해커가 공격 수단으로 메일 수신자의 컴퓨터를 활용할 수도 있고, 노출된 계정을 무단 도용해 주변인에게 후속 공격을 시도할 가능성도 있다.

북한 해커 통일부
포털로 위장된 사이트에 계정 정보를 입력하면 실제 문서를 사용자에게 보여준다. 사용자가 해킹 당했다는 사실을 인지하지 못하게 하려는 해커의 수법이다. /사진=이스트시큐리티 시큐리티대응센터 제공

본지가 전문 업체에 의뢰해 해당 피싱 메일을 분석한 결과, 이번 공격은 북한 해커의 소행으로 나타났다.

문종현 이스트시큐리티 시큐리티대응센터 센터장은 “해당 메일은 북한 해커가 통일부를 사칭해 보낸 것으로 분석됐다”며 “현재 다수의 피해 신고가 접수되고 있다”고 전했다.

문 센터장은 “유사한 형태의 피싱 공격이 대북 단체, 기자 등을 대상으로 계속되고 있다”면서 “위협을 식별하는 일이 쉽지 않아 각별한 주의와 대비가 필요하다”고 말했다.

북한 해커들의 해킹과 피싱 공격이 전방위적으로 포착되고 있는 만큼 보안 유지에 상당한 노력과 주의가 필요한 상황이다.

사이버상에서의 개인 보안을 위해서는 지인이나 업무 관련자가 발송한 메일이라도 발신 여부를 꼼꼼히 확인하고, 공공기관에서 보내온 메일은 발신자 메일 주소 등을 자세히 들여다보는 습관을 지녀야 한다.

우선 출처가 불분명한 메일은 열어보지 않도록 하고, 메일 내 첨부파일이나 URL 실행도 자제하는 것이 필요하다. 행여 첨부파일이나 URL을 클릭해 열어봤다 하더라도 개인정보나 계정 입력을 요구하면 피싱 가능성을 의심하고 이를 무시해야 한다.

무엇보다 운영체제(OS)와 각종 인터넷 브라우저, 소프트웨어, 백신을 최신 상태를 유지하면 사고 예방에 도움이 된다. 다만 해커가 워드(Word)나 한글(HWP) 프로그램의 정상적인 기능을 이용하는 경우도 있기 때문에 가급적이면 문서를 열어보지 않는 것이 좋다.