카카오 데이터센터 화재 사건과 관련해 한국인터넷진흥원(KISA)으로 속인 수상한 메일이 유포 중인 것으로 나타났다.
이상용 데일리NK 공동대표는 지난 18일 발신자명을 한국인터넷진흥원으로 하고 있는 ‘카카오 업데이트 사칭 사이버 공격 주의 경보’라는 제목의 이메일을 수신했다.
해당 이메일에는 “최근 카카오 서비스 장애 발생을 악용해 카카오를 사칭한 이메일을 유포시켜 카카오톡 설치파일(PC버전 등)을 위장한 악성 프로그램 설치를 유도하는 사이버 공격이 잇달아 발생하고 있다”며 “해킹 피해를 예방하기 위하여 송신자 주소를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람을 금지하며 이메일 첨부 파일 중 출처가 불분명한 파일은 다운로드를 자제하여 주실 것을 권고 드린다”는 내용이 담겨 있었다.
지난 15일 판교 데이터센터 화재로 발생한 카카오 서비스 장애 이슈를 악용해 사이버 공격이 잇따르고 있으니 주의하라는 안내 메일이다.
하지만 해당 이메일은 KISA 측에서 발송하지 않은 것으로 확인됐다. 이에 전문가에게 이메일 분석을 의뢰한 결과 북한 추정 해커의 소행으로 나타났다.
문종현 이스트시큐리티 시큐리티대응센터 센터장은 본보에 “이메일 발신지 IP가 며칠 전 카카오를 활용한 공격에 사용된 것과 대역대가 유사하다”면서 “같은 공격자들의 소행일 가능성이 높다”고 말했다.
앞서 카카오 서비스 장애 발생 하루 뒤인 16일 ‘[Kakao] 일부 서비스 오류 복구 및 긴급 조치 안내’라는 제목의 피싱 이메일이 북한 업계 종사자들과 일부 탈북민에게 발송됐다. 당시 전문가들은 이 같은 피싱 메일 발송을 북한의 소행일 가능성을 제기했다. 이에 과학기술정보통신부와 KISA는 17일 보도자료를 통해 해당 내용을 알리고 사용자들의 주의를 당부한 바 있다.
카카오 서비스 장애 이슈를 악용한 해킹 사례가 언론에 노출된 이후에도 해당 이슈를 활용한 지능적인 사이버 공격이 끊이지 않고 있는 모습이다.
이 공동대표가 수신한 이메일을 자세히 살펴보면 발신자 주소가 ‘noreply@kisa.co.kr’로 돼 있다. 그러나 실제 KISA에서는 ‘@kisa.or.kr’이라는 도메인을 사용하는 것으로 알려졌다. 도메인을 교묘하게 바꿔 사용자를 속이려 한 것이다.
이메일 내부에도 KISA의 로고가 박혀 있는 등 사용자를 현혹할 요소들이 곳곳에 배치돼 주의 깊게 보지 않으면 속아 넘어갈 가능성이 있다.
분석 결과 이메일의 발신지는 일본의 한 사이트(cloudhome.com)로 나타났다. 해당 사이트는 2020년 10월 31일 폐쇄됐지만, 서버는 아직 운영 중인 것으로 보인다.
다만 특이한 것은 이번 피싱 이메일에 악성 링크나 파일이 들어있지 않다는 점이다. 본격적인 공격에 앞서 사용자가 이메일을 열람하는지를 확인하고자 해커가 테스트 차원에서 보낸 것으로 풀이된다. 최근 피싱 공격에 대한 사용자들의 경계심이 높아진 데 따른 지능적인 수법인 셈이다.
앞으로 가까운 시일 내에 과학기술정보통신부나 KISA와 같은 공공기관을 활용한 사이버 공격이 추가로 진행될 가능성이 있다는 점에서 주의가 요구된다. 또 카카오로 속인 피싱 공격 가능성도 충분한 만큼 보안에 각별히 신경 쓸 필요가 있다.
