북한의 해킹조직이 ‘카카오’를 사칭한 이메일을 발송, 외교안보 분야 종사자를 상대로 개인정보 탈취를 시도한 것으로 나타났다.
문종현 이스트시큐리티 이사는 25일 아시아경제와의 통화에서 “카카오 로그인 페이지로 위장된 피싱 이메일이 발견됐다”며 “이달 초부터 다수의 외교·안보·국방 분야 종사자에게 발송된 것으로 보인다”고 밝혔다.
이스트시큐리티가 공개한 이메일을 보면 북한 해커조직으로 추정되는 발송자는 ‘[kakao]해외지역에서 로그인되었습니다’라는 제목으로 카카오팀을 사칭했다. 본문에는 ‘귀하의 계정이 해외지역에서 로그인됐다’는 내용과 함께 ‘[해외지역 로그인 차단하러 가기]’라는 버튼이 포함됐다.
문제의 버튼을 누르게 되면 가짜 카카오 로그인 화면에 접속되는데, 이는 실제 카카오 로그인 페이지와 매우 흡사하게 꾸며졌다. 아이디와 비밀번호는 물론 QR코드 로그인을 비롯한 메뉴까지 갖췄으며, 개인정보를 입력하는 순간 공격자의 서버로 넘어가는 구조로 돼 있다.
이스트시큐리티에서 여러 지표를 분석한 결과, 이번 공격은 북한이 배후에 있는 APR 조직의 ‘스모크 스크린’ 공격 활동의 연장선에 있는 것으로 분석됐다. 이번 공격에 쓰인 IP는 지난달 국내 외교·안보 분야에서 활동하는 이들을 상대로 한 북한의 해킹 공격에서 활용된 바 있다.
앞서 이달 중순에도 북한 정찰총국 산하 해킹조직 ‘김수키’ 측에서 카카오가 운영하는 포털사이트 ‘다음(daum)’으로 위장한 피싱 이메일을 뿌려, 이용자의 비밀번호 탈취를 시도한 정황이 포착된 바 있다. 이 공격 역시 로그인 페이지로 위장한 뒤 피해자가 개인정보를 입력하면 모두 해커의 서버로 전송되도록 구성됐다.
이 밖에도 북한은 지난해 최소 세 차례에 걸쳐 외교안보 분야 전문가 892명에게 피싱 이메일을 발송한 것으로 나타났다. 지난해 10월 화재로 카카오 서비스 장애가 발생했을 당시 곧바로 계정 관리 서비스로 위장해 탈북민 등의 계정 탈취를 시도했으며, 최근에는 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭한 공격을 감행하기도 했다.
문종현 이사는 “공격의 수준 자체는 낮지만, 상당히 많은 수가 이런 일상화된 기법에 당하고 있다”며 “어느 포털을 사칭하는지보다 누가 이런 공격을 받는지가 중요하다. 고위 공직자가 외교안보·통일·국방 분야에서 활동하는 분들이 이런 메일을 일상적으로 받고 있어 각별한 주의가 필요하다”고 당부했다.
한편, 국가정보원에 따르면 국제 및 국가 배후 해킹조직에 의한 공격 시도는 일평균 115만건에 달한다. 이 가운데 다수는 북한의 소행이라는 게 정보 당국의 판단이다. 국정원 올해 북한의 대남 사이버 공격이 더욱 거세질 것으로 관측하고 있으며, 우리 원전·방산 기술을 탈취하려는 움직임도 크게 늘어난 것으로 보고 있다.
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
댓글 많은 뉴스