북한 추정 해커, 이번에는 ‘구글’로 위장해 피싱 공격 시도

네이버와 구글 이메일 연계해 교묘하게 속여…이메일 열람 시 각별한 주의 필요

북한 추정 해커가 본지 공동대표에게 보낸 피싱 메일 화면. /사진=데일리NK

국내 대형 포털 사이트로 위장한 사이버공격이 기승을 부리는 가운데 이번에는 세계 최대 포털 사이트인 구글로 속인 피싱 공격이 포착됐다.

이상용 데일리NK 공동대표는 지난 29일 ‘lsydailynk@gmail.com 관련 심각한 보안 경고’라는 제목의 이메일을 수신했다.

발신자명은 ‘Google’이고 형식 역시 구글의 안내 메일로 보였지만, 발신자 이메일 주소가 ‘nonoreply.notice@gmail[.]com’로 구글의 공식 이메일이 아니었다.

이를 수상하게 여겨 전문가에게 분석을 의뢰한 결과, 북한으로 추정되는 해커의 피싱 공격으로 밝혀졌다. 피싱에 사용된 코드, 공격 경로, 스타일 등 기존이 기존에 알려진 북한 해커의 수법과 상당히 유사한 부분이 있다는 이야기다.

북한 해커들이 국내 대형 포털 사이트로 속인 공격을 이어오다 이번에는 구글을 이용해 사이버공격을 진행하는 모습이다.

특히 눈에 띄는 점은 해커가 구글과 네이버 이메일 주소를 연계해 공격에 사용했다는 점이다.

해커는 해당 이메일에서 “popeyeboy@naver.com 계정이 lsydailynk@gmail.com의 복구 이메일로 등록되어 있습니다”라며 “이 계정을 모르시나요? ‘여기를 클릭’하세요”라고 클릭을 유도했다.

구글은 다른 사이트의 이메일을 보조 이메일로 등록할 수 있고, 보조 이메일을 등록하면 이를 알림으로 보내주는데 바로 이를 피싱에 활용한 모습이다.

‘여기를 클릭’ 부분을 누르면 가짜 로그인 사이트로 연결된다. 가짜 사이트 주소는 ‘https://accounts.gooqle[.]com.co/tPKkGHhO’로 언뜻 구글 계정 페이지로 보이지만 자세히 들여다보면 ‘google’이 아닌 ‘gooqle’로 돼 있다.

북한 해커들은 이메일 도메인을 ‘naver’가 아닌 ‘navar’로 하거나 발신자명을 ‘‘네O|버’로 하는 등의 피싱 수법을 종종 사용하고 있다. 이와 유사한 전략으로 g를 q로 바꿔 사용자를 교묘하게 속이려 한 것이다.

북한 추정 해커가 보낸 이메일 내 링크를 클릭하면 연결되면 페이지. 구글 로그인 페이지로 위장한 가짜 사이트이다. 실제 도메인에 ‘google’이 아닌 ‘gooqle’이 쓰인 것을 확인할 수 있다. /사진=데일리NK

아래쪽에는 “누군가 방금 귀하의 비밀번호를 사용하여 귀하의 계정에 로그인하려고 했습니다. Google에서 로그인 시도를 차단했지만, 계정 활동 기록을 확인하시기 바랍니다”라고 클릭을 유도했다. 계정 활동 확인 버튼 역시 같은 URL로 연결돼 있다.

해당 이메일 형식이 구글에서 사용하는 양식과 상당히 비슷해 자칫 속을 수 있어 주의가 요구된다.

이를 인지하지 못하고 해당 페이지에 아이디와 비밀번호를 입력하면 정보가 해커에게 그대로 전송되는 구조다. 구글 이메일 계정을 탈취하려는 목적의 전형적인 피싱 메일이다.

최근 지인, 대형 포털, 공공기관, 수사기관을 사칭해 개인의 계정 정보를 빼앗아 가려는 피싱 공격이 지속해서 진행되고 있다. 수상한 이메일을 발견하면 발신자에게 발송 여부를 확인하고 개인정보를 요구에 응하지 않는 것이 피해를 줄이는 방법이다.