최근 북한 관련 분야 활동가들을 사칭하거나 관련 단체의 실제 행사 자료 등을 활용한 해킹 시도가 이어지고 있어 주의가 요구된다.
본지 이광백 대표는 지난 15일 ‘북한 인권 정책 세미나 활동사진.zip’이라는 제목의 이메일을 수신했다. 해당 이메일은 국내 한 북한인권 NGO 명의로 발송됐다.
해당 메일은 네이버 이메일 주소로 발송됐으나, 발신자 IP를 확인한 결과 외국의 클라우드 서비스를 통해 보낸 것으로 나타났다. 이메일 주소를 조작해 수신자를 속이려 한 것이다.
이메일에는 ‘북한 인권 정책 세미나 활동사진 보냅니다’라는 내용과 함께 첨부파일이 담겨 있고, 이는 압축파일을 내려받을 수 있는 마이크로소프트의 원드라이브로 연결돼 있었다.
전문가를 통해 이메일을 분석해보니 북한 해킹 조직으로 추정되는 Group123, 금성121, APT37 등의 소행으로 파악됐다.
또 본지 기자 2명과 익명의 북한 관련 관계자도 지난 15일 피싱 이메일을 수신했다. 해당 이메일은 실제 진행될 예정인 북한 관련 세미나 홍보자료로 위장해 수신자를 속이려 했다.
이메일에는 강의자료 압축파일을 다운로드할 수 있는 링크가 담겨 있다. 겉으로 보면 주관 단체의 홈페이지로 연결되는 것처럼 보이나 실제로는 해커가 마련해 둔 원드라이브와 연결돼 있었으며, 압축파일에는 악성 바로가기(LNK) 파일이 들어 있었다.
최근의 해킹 사례를 보면 워드, 한글 프로그램의 매크로를 이용하던 기존 방식과 달리 원드라이브, 압축파일, LNK 확장자 파일을 이용한 공격이 주를 이루고 있다.
해커는 지인이나 관련 기관으로 위장해 악성코드가 담긴 압축파일을 이메일로 보내는데, 압축파일은 메일에 첨부돼 있지 않고 원드라이브와 연결돼 있다. 특히 압축파일에는 일반 파일과 악성 파일이 함께 들어 있다.
이중 LNK 확장자 파일이 악성 파일로, 해커는 LNK 확장자의 특성을 이용해 사진, 한글, 워드 문서, PDF 등 다양한 형태로 위장한다.
악성 파일을 클릭하면 미끼용 파일이 실행된다. 즉, 파일을 열어본 이가 악성코드 감염 여부를 의심하지 못하도록 하려는 전략인 셈이다. 이때 악성코드가 작동해 컴퓨터의 보이지 않는 뒷공간에서 정보가 탈취된다.
이 같은 교묘한 해킹 공격을 피하려면 우선 이메일 주소, 파일 크기, 링크 주소 등을 유심히 살펴 이상한 점이 없는지 따져봐야 한다.
일반적인 LNK 확장자 파일은 용량이 매우 작지만 악성 파일은 대용량이라는 특징이 있다. 때문에 파일 용량이 지나치게 크다면 악성 파일로 의심하고 실행하지 않아야 한다.
그리고 무엇보다 발신자에게 이메일 발송 여부를 직접 확인하는 것도 중요하다. 발신 여부를 확인하기 어려울 때는 가급적 메일에 걸린 링크나 첨부파일을 클릭하지 않는 것이 좋다.
한편 최근에는 윈도 운영체제에서 사용되는 도움말 확장자 파일(CHM)을 이용한 해킹 공격도 활발하게 이뤄지고 있어 각별한 주의가 요구된다.