북한이 국내 포털사이트로 속여 북한 관련 기관과 단체에 대한 피싱(Phishing) 공격을 진행 중인 것으로 나타났다.
이상용 데일리NK 공동대표는 지난 3일 ‘네이버 고객센터’로부터 안내메일을 받았다.
그러나 해당 이메일의 발신자명은 ‘네Ol버’로 확인됐다. 국내 대형 포털사이트 고객센터에서 발신한 것처럼 보이기 위해 발신자명을 조작한 모습이다.
발신자 주소 역시 ‘notice@secure.nevar[.]com’로 실제 네이버 고객센터와 다른 주소임이 확인됐다. 중간에 도메인이 ‘naver’가 아닌 ‘navar’인 점도 눈에 띈다.
실제 이메일 발신 서버는 ‘111.**.***.**’으로 포털사이트가 아닌 국내 한 기업 서버에서 발송됐다.
해당 이메일에는 사용자의 네이버 계정 이메일이 구글 계정 이메일의 복구 이메일로 추가됐다는 내용과 함께 ‘모르는 계정인 경우 실수로 이메일 주소가 추가되었을 수도 있습니다. 계정에서 이메일 주소를 삭제할 수 있습니다’는 내용이 담겨 있다.
그러면서 연결된 계정을 삭제하기 위해서는 ‘이메일 연결 해제’ 링크를 누르라고 안내했다. 이 링크를 클릭하면 국내 대형 포털사이트 로그인 화면으로 위장된 사이트로 연결된다.
그러나 정작 사이트 주소창에는 포털사가 아닌 국내 한 학회의 홈페이지 주소가 나타난다. 학회의 서버가 해커에게 탈취당해 공격거점으로 이용되고 있는 것으로 추정된다.
이 같은 위장 사이트에서 아이디와 암호를 입력하게 되면 계정정보가 해커에게 그대로 전달되게 된다.
이러한 종류의 피싱 메일은 국내 북한인권단체인 국민통일방송 직원에게도 여러 차례 발송된 것으로 확인됐다. 해당 이메일의 발신 서버와 위장 로그인 사이트는 이 대표에게 온 것과 정확히 일치했다.
다만 이메일 발신 주소를 ‘alert@mail.secure.net’로 바꿨다는 점에서 이메일 발신 주소를 변경해가며 지속 공격을 가하고 있을 가능성도 있다.
이밖에 포털사이트를 사칭한 다른 유형의 피싱 메일도 발견됐다.
해당 메일은 ‘회원님의 아이디에 대한 인증메일입니다’는 제목으로 지난 1일 국민통일방송 직원에게 발송됐다.
이메일 발신주소는 ‘네O|버 <noreply@certification.co.ko>’로 앞선 경우와 마찬가지로 실제 포털사이트와 다르다. 발신 IP는 앞서 언급한 고객센터 안내메일의 IP와 같다.
메일에는 ‘계정의 안정성을 확인하기 위해 다시 한번 로그인 시도하세요’라며 하단의 로그인 버튼을 누르도록 유도하고 있다.
로그인 버튼을 누르면 역시 포털사이트 로그인 화면으로 위장된 사이트로 연결된다. 위장 사이트 또한 앞서 언급된 국내 학회의 홈페이지로 확인됐다.
해커 또는 해킹조직이 동일한 서버와 경유지를 활용해 다양한 형태의 피싱 공격을 진행하고 있는 것으로 보인다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC)센터장은 “지난주부터 유사한 신고가 여러 건 들어오고 있다”면서 “이메일 열람 시 주의가 요구된다”고 말했다.
그는 “이번 공격은 이전의 북한 해킹 피싱 기업, 주소 조작법, 정보 탈취 기술 등이 유사하다”면서 “북한 해커들이 활용했던 피싱 경유지와도 일치해 탈륨, 김수키 등의 소행으로 보인다”고 설명했다.
탈륨, 김수키 등은 북한의 대표적인 해킹조직으로 정찰총국의 지휘를 받는 것으로 알려져 있다. 즉 전방위적인 해킹 공격이 북한 군 기관의 지휘 아래서 일어나고 있다는 이야기다.
북한 해커 소행으로 추정되는 피싱 메일은 개인정보 유출 등의 피해를 불러올 수 있는 만큼 주의가 요구된다.
네이버가 정식으로 발송하는 이메일에는 초록색 바탕에 흰색 ‘N’자 모양 아이콘이 식별된다. 해당 아이콘이 없다면 피싱 메일일 가능성이 크므로 각별히 주의해야 한다. 다음(daum)이 정식 발송하는 이메일의 경우에는 사람 모양의 아이콘이 붙는다.