북한 해커가 현직 경찰의 신분증을 도용한 사이버공격을 시도한 데 이어 이번엔 경찰청 사이버안전국을 사칭한 피싱 공격을 감행한 것으로 파악됐다. 전화금융사기와 유사하게 온라인상에서도 수사기관이나 공공기관으로 속이는 경우가 늘고 있어 주의가 필요하다.
국내 한 북한인권단체 대표는 지난 13일 ‘제목: [중요] 사이버안전국에서 알려드립니다’라는 이메일을 수신했다고 데일리NK에 전해왔다. 이메일에는 자신의 소속을 ‘경찰청 사이버안전국 사이버수사기획계 김00’이라는 내용도 담겨 있었다.
그런데 해당 이메일의 주소는 ‘sori000000@naver.com’으로 경찰청의 기관 계정이 아니었다. 해당 이메일 주소를 검색해보니 전주의 한 공연단체 대표의 계정으로 나타났다. 해커가 계정을 탈취하거나 도용해 피싱에 이용하고 있는 것으로 보인다.
전문가에게 해당 이메일에 대한 분석을 의뢰한 결과 전형적인 북한 해커들의 수법으로 드러났다. 공격자들이 사용한 공격 전술과 전략, 절차 등이 기존 북한 해커들의 패턴과 일치한다는 점에서다.
해당 메일에는 “회원님의 메일계정이 사용 중지되었습니다”며 “아래 버튼을 눌러 사용중지 해제하시고 사이버안전국의 안내에 따라 필요한 조치를 취하세요”라고 유도하고 있다.
사용중지 해제 버튼이 연결된 URL을 클릭하면 네이버 로그인 화면과 유사한 페이지가 나온다. 실제 네이버 로그인 페이지가 아닌 해커가 미리 만들어둔 페이지로 사용자를 속이는 것이다. 여기에 계정 정보를 입력하면 관련 내용이 해커에게 고스란히 전달된다.
북한 해커들은 오래전부터 통일부, 한국인터넷진흥원, 통일연구원 등 기관 이름으로 피싱 공격을 지속해오고 있다. 최근에는 사이버범죄를 수사하는 현직 경찰의 신분증을 도용해 공격에 활용하기도 했다.(▶관련 기사 바로가기: 현직 경찰 신분증 도용한 北 해킹 공격 포착돼 ‘주의’ 필요)
해커들이 공공기관이나 수사기관의 공신력을 이용해 공격을 시도하는 사례가 늘고 있어 각별한 주의가 요구된다.
또한 북한 해커들은 대형 포털 사이트로 위장한 공격을 지속해서 벌이고 있다. 이미 널리 알려진 공격 수법이지만 해당 방법이 여전히 유효하기 때문이다.
실제 민간 대북방송 ‘국민통일방송’의 한 직원은 지난 11일 ‘네이버 계정이 불법 도용되고 있습니다’라는 이메일을 수신했다. 발신자는 ‘ 네O|버 <alert@securemail.co[.]ko>’이다. ‘네이버’라는 이름을 사용할 수 없어 ‘네O|버’라고 발신자명을 설정한 것이다.
네이버 고객센터를 사칭한 전형적인 피싱 공격 방식으로, 역시 전문가에게 분석을 의뢰한 결과 북한 해킹 조직의 소행으로 파악됐다.
해당 직원은 지난 3일에도 ‘네O|버 <notice-alert@mail.security.co[.]ko>’로부터 ‘서비스이용을 확인해 주세요’라는 제목의 이메일을 수신했다. 앞서 수신한 해킹 이메일과 마찬가지로 ‘네O|버’라는 발신자명을 사용했고 주소에는 ‘co.ko’라는 독특한 도메인을 사용했다.
해커는 두 이메일 모두에서 특정 버튼을 누르도록 유도했다. 해당 버튼을 누르면 네이버 로그인 페이지로 위장된 사이트로 연결됐다. 이곳에 계정 정보를 입력하면 관련 내용이 해커에게 전달된다.
이렇듯 북한 해커들은 지속해서 해킹과 피싱을 시도하고 있어 보안 유지에 각별한 주의를 기울여야 할 필요가 있다. 보안을 지키기 위해서는 지인, 전문가, 업무 관련자, 공공기관, 수사기관의 메일도 발신 여부를 직접 확인하고 출처가 불분명한 메일은 열어보지 않는 것이 좋다.
이메일 발신 주소를 유심히 살펴보고 설사 이메일을 열어봤더라도 내부의 첨부파일, URL 실행을 자제하고 개인정보나 계정 입력을 요구하면 무시해야 한다. 또 운영체제(OS)와 각종 인터넷 브라우저, 소프트웨어, 백신의 최신 상태를 유지하면 보안 사고 예방에 도움이 된다.
이밖에 메일 앞에 있는 아이콘을 주의 깊게 보는 것도 중요하다. 피해 다음이나 네이버 등 대형 포털 사이트에서 보낸 메일에는 사람 모양이나 녹색 ‘N’ 모양의 아이콘이 뜨고, 일반 사용자가 보낸 메일은 모두 편지 봉투 모양의 아이콘이 뜬다.
