본보 대표를 사칭한 피싱 메일이 또다시 유포돼 각별한 주의가 요구되고 있다.
데일리NK 한 직원은 지난 3일 이광백 데일리NK 대표로부터 ‘연락처 공유 부탁해요’라는 제목의 이메일을 수신했다.
이메일 주소는 ‘kbleenk@gmail.com’으로 이 대표의 이니셜과 북한을 상징하는 ‘NK’를 결합해 만들어진 모습이다.
하지만 확인 결과 해당 메일은 이 대표가 사용하는 메일이 아닌 사칭 메일 계정으로 밝혀졌다.
해당 이메일에는 “밤중에 메일로 번거롭게 해서 미안해요”, “전화할 짬이 없어 메일로 보내니 회사 성원들의 연락처(기관,개인메일)를 정리해서 보내주세요”라는 내용이 포함돼 있다.
이메일 발신 시각은 지난 3일 오후 11시 5분으로, 실제 이메일을 발신했는지 당사자에게 직접 확인해보기 어려운 늦은 시간대를 일부러 노린 것으로 보인다.
특히 공격자는 이메일에 “아래에 성원들의 이름을 보내요”라면서 본보 소속 기자들의 이름을 나열했는데, 이 중에는 탈북민 기자들의 이름도 다수 포함돼 있었다.
그러면서 공격자는 “내 컴(컴퓨터)이 기관에 접속이 잘되지 않아 그래요”라며 “이제 곧 정리해서 보내주면 고맙겠어요”라며 서둘러 이메일을 정리해 보내줄 것을 요구했다.
이 이메일에 악성 파일이 첨부돼 있지도 않았고 주소 위변조 등의 증거도 없어 공격자를 정확히 특정할 수 없었으나, 사용한 단어와 어투에 미뤄 짐작해 볼 때 북한 해커의 소행으로 추정된다.
이메일 내용에 등장한 ‘성원’, ‘기관’은 ‘직원’, ‘회사’를 의미하는 북한식 표현이다.
공격자의 사용 언어는 피싱, 해킹 등과 같은 사이버 공격의 배후를 조사하고 밝혀내는 데 있어 중요한 단서로 활용된다. 북한 해커가 이메일을 발신하면서 습관적으로 평소 쓰던 북한식 표현을 그대로 사용한 것으로 보인다.
그런가 하면 해당 공격자는 지난 4일 다른 데일리NK 직원에게도 피싱 이메일을 보냈다.
공격자는 “참고자료 하나 보냅니다”라는 짧은 내용과 함께 ‘국제 매커니즘을 활용한 북한인권 개선방향’이라는 파워포인트 파일을 이메일에 첨부했다.
전문가에게 해당 이메일과 파일을 분석 의뢰한 결과, 악성파일은 아닌 것으로 나타났다. 공격자가 추가 공격을 위해 회신 여부나 정보파악 등 사전 작업용 이메일을 보낸 것으로 보인다.
한편, 본보의 또 다른 직원 역시 지난 3일 유관기관 관계자를 사칭한 이메일을 수신했다.
발신 이메일 주소는 ‘OOOO052@grnail.com’으로, 주소 앞부분에는 관계자의 영문 이름 이니셜이 사용됐다. 도메인 ‘grnail.com’은 ‘r’과 ‘n’을 조합해 ‘m’처럼 보이도록 착각을 유도했다. 실제 발신은 gmail이 아닌 호스팅 업체인 ‘opalstack’을 통해 이뤄졌다.
해당 직원은 지방경찰청 사이버수사대 직원을 사칭한 이메일도 수신했다.
공격자는 ‘OOOOOOOO.police@gmail.com’ 주소를 사용해 메일을 보냈다. 이 때, 이메일 주소의 앞부분은 실제 경찰청 직원이 사용하는 아이디를 도용했다. 이메일 발신 여부를 확인 한 결과, 해당 이메일은 경찰청 직원이 발송하지 않은 것으로 확인됐다.
실제 아이디를 도용하고 중간에 police라는 문구를 넣어 수신자가 피싱메일이라는 것을 알아차리지 못하도록 교묘한 수법을 쓴 것이다. 다만 해당 이메일에 악성파일이나 링크 등이 첨부돼 있지 않은 점으로 봐서 미끼성 피싱 메일일 가능성이 높아 보인다.
전문가들은 정보 탈취를 시도하는 피싱 메일의 피해를 최소화하기 위해서는 업무적으로 연관된 지인의 이름으로 발송된 이메일이라도 주소 등을 꼼꼼히 들여다보는 습관을 지녀야 한다고 당부하고 있다.
