세계일보

검색

발신자는 ‘네0ㅣ버·네Oㅣ버’에 주소는 ‘navor’…北의 해킹 메일이었다

입력 : 2023-05-26 11:22:32 수정 : 2023-05-26 11:22:31

인쇄 메일 url 공유 - +

국가정보원, 북한 해킹조직의 사이버 공격 통계 자료 공개
메일 발신자명 오인하게 표기…주소도 자세히 보면 달랐다
제목도 ‘새로운 환경에서 로그인’ 등 오인할 수 있어…국정원 “보안 강화” 당부
국가정보원이 26일 공개한 ‘최근 3년간 북한 발(發) 해킹 메일 공격 피해통계’에 얼핏 보면 헷갈릴 수 있는 메일 발신자명이 여럿 포함된 것으로 나타나 이용자들의 각별한 주의가 요구된다. 포털사이트 관리자로 위장한 메일 발신자명인데, 자세히 들여다보면 ‘네0ㅣ버’(빨간 밑줄)는 숫자 ‘영(0)’을 썼다. 국가정보원 제공.

 

네이버가 아닌 ‘네0ㅣ버’, ‘네Oㅣ버’ 그리고 ‘_네이버_’.

 

Daum 보안센터가 아닌 ‘Daum 보안쎈터’, ‘?Daum 고객센터’.

 

국가정보원이 26일 공개한 ‘최근 3년간 북한 발(發) 해킹 메일 공격 피해통계’에 이처럼 얼핏 보면 헷갈릴 수 있는 메일 발신자명이 여럿 포함된 것으로 나타나 이용자들의 각별한 주의가 요구된다.

 

포털사이트 관리자로 위장한 메일 발신자명인데, 자세히 들여다보면 ‘네0ㅣ버’는 숫자 ‘영(0)’을 썼고 ‘네Oㅣ버’는 알파벳 ‘오(O)’ 대문자를 써 한글 자음 ‘이응(ㅇ)’을 대신했다. ‘Daum 보안센터’로 오인할 수 있는 ‘Daum 보안쎈터’로 발신자명이 적힌 메일도 해킹 목적이다.

 

국정원은 북한 해킹조직이 대한민국 국민을 대상으로 무차별·지속적 해킹공격을 진행한다면서, 국민의 경각심 제고를 위해 북한의 해킹공격 관련 통계를 처음 공개했다고 이날 밝혔다. 국정원은 국가·공공기관과 국제·국가배후 해킹조직에 대응하는 과정에서 집계한 대한민국 대상 해킹공격 자료 중, 지난 3년(2020~2022년) 동안 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해통계를 공개했다.

 

자료에 따르면 북한은 보안프로그램의 약점을 뚫는 ‘취약점 악용(20%)’이나 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀(3%) 수법’ 등을 활용했지만, 그보다 이메일을 악용한 해킹공격이 전체의 74%를 차지해 압도적으로 높았다.

 

국정원은 상용 메일을 통한 북한의 해킹공격은 곧 대한민국 국민 전체를 대상으로 한 공격이라고 분석했다. 기존 북한의 주요 타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수와 학생 그리고 회사원 등도 피해를 본다면서다.

 

메일 수신자가 해킹 메일을 별다른 의심 없이 열도록 유도하려 발신자명과 메일 제목을 교묘하게 바꾼다고 국정원은 설명했다. 발신자 메일주소를 ‘naver’가 아닌 ‘navor’로 바꾸고, ‘daum’은 ‘daurn’로 표기하는 방식이다. 국정원은 “메일 수신자의 계정정보를 탈취하기 위해 열람을 유도하는 사회 심리 공학적 피싱”이라고 강조했다.

 

북한은 메일 사용자들을 속이려 ‘새로운 환경에서 로그인되었습니다.’, ‘[중요] 회원님의 계정이 이용제한 되었습니다.’, ‘해외 로그인 차단 기능이 실행되었습니다.’ 등 계정 보안의 문제가 생긴 것처럼 제목을 단 해킹 메일을 발송했다. 같은 계정을 스마트폰이 아닌 PC 등 다른 기기에서 쓸 때 종종 받는 안내 메일이어서 이용자들이 별 의심 없이 들여다볼 가능성이 높다.

 

포털사이트 관리자로 사칭한 메일 주소. 국가정보원 제공

 

실제로 포털사이트 관리자 명의로 발송된 이메일을 연 누리꾼은 수년치 메일 송수신 내용은 물론 클라우드에 저장된 이력서 및 개인 파일들이 통째로 유출되는 피해를 입었다. 그가 받은 메일은 북한 정찰총국이 보낸 해킹용 메일이었다.

 

또 다른 누리꾼은 ‘비밀번호가 유출되었습니다’라는 제목의 메일을 연 후, 즉시 비밀번호를 변경했지만 관계 기관에서 “메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다”는 통보를 며칠 후 받았다. 신종 코로나바이러스 감염증(코로나19) 상황 가운데 재택근무를 위해 개인메일 계정으로 전송했던 민감 업무자료가 모두 북한으로 빠져나간 거였다.

 

국정원이 국내 해킹사고 조사과정에서 확보한 북한 해커의 공격 발송용 계정에는 1만여건의 해킹 메일이 들어있던 것으로 확인됐다. 추가 공격을 위한 것으로 생각되며 이 중 약 7000개는 네이버·다음 등 국내 포털사이트로 사칭한 메일이었다. 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여개가 발견됐다고 국정원은 전했다.

 

국정원은 “북한은 해킹 메일로 확보한 계정정보를 이용해 메일계정 내 정보를 탈취하고, 메일함 수·발신 관계를 분석해 2~3차 공격대상자를 선정한 후 악성코드 유포 등 공격을 수행하고 있다”고 밝혔다.

 

국정원은 발신자명에 붙은 ‘관리자 아이콘’과 보낸 사람의 메일주소 그리고 메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다면서, 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화를 당부했다.

 

국정원 관계자는 “네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다”고 말했다.


김동환 기자 kimcharr@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]

오피니언

포토

츄 '상큼 하트'
  • 츄 '상큼 하트'
  • 강지영 '우아한 미소'
  • 이나영 ‘수줍은 볼하트’
  • 조이현 '청순 매력의 정석'