북한이 대한민국 통신사 KT를 사칭해 개인정보 탈취 목적의 공격용 전자메일을 유포한 사실이 드러났다.
29일 자유아시아방송(RFA)에 따르면, 최근 북한의 해킹 조직 ‘김수키’(Kimsuky)가 발송한 것으로 추정되는 해킹용 전자우편이 발견됐다.
발송자(공격자)는 ‘KT이용요금명세서(edoc-file@biglobe.ne.jp)’라는 발신자명을 사용하고 있으며, ‘[KT이용요금명세서] 회원님께 도착한 전자문서를 확인하세요’라는 제목으로 본문 열람을 유도하고 있다.
본문에는 KT가 발송한 것처럼 위장한 가짜 ‘6월 명세서’가 나타난다.
화면에 생성된 확인란을 클릭하면 네이버의 아이디와 비밀번호를 기입하는 창이 출력되는데, 이 때 관련 정보를 기입하면 개인정보가 북한 해커에게 그대로 유출된다.
이와 관련해 KT 관계자는 해당 전자우편은 KT가 발신한 것이 아니며, 발신자 계정 역시 KT와 무관하다고 RFA에 밝혔다.
해당 전자우편을 분석한 보안 전문가는 “전형적인 북한의 피싱 공격”이라며 “북한의 해킹 조직인 김수키(Kimsuky)의 소행인 것으로 분류했다”고 밝혔다.
이어 “김수키가 다양한 주제로 해킹을 시도하고 있는데 KT와 같은 통신사 사칭은 보기 드문 사례”라고 덧붙였다.
앞서 인터넷 보안전문 기업인 안랩은 지난 16일 보고서를 통해 김수키가 다양한 주제를 이용해 악성코드를 유포 중이라고 알렸다.
안랩에 따르면, 김수키가 지난 5월 한 달 동안 유포한 악성코드의 파일명은 가상자산, 세무, 임대차계약서, 연회비, 특정 사용자 간 금융거래, 상장심의자료, 4대보험 가입, 게임 계정 제재 안내 등 일상 생활과 밀접하게 연관된 용어들로 돼있었다.
안랩은 보고서를 통해 “유포 중인 악성코드는 정상적인 도움말 창을 생성하기 때문에 사용자는 이 화면에 속아 악성 행위를 알아차리기 어렵다”며 “생성된 도움말 창은 특정 분야의 종사자를 목표로 각각 다른 주제를 이용해 위장했다”고 분석했다.
이런 가운데 전날 국가정보원은 북한에서 대한민국에 대한 사이버 테러, 간첩 침투를 통한 사회 교란 등을 담당하는 부처인 정찰총국이 보안인증 프로그램인 ‘매직라인’(MagicLine4NX)의 보안 취약점을 악용해 지속적인 해킹 공격을 시도하고 있다며 주의를 당부했다.
매직라인은 국가·공공기관, 금융기관 등 홈페이지에 공동인증서를 활용해 로그인할 경우 본인인증을 위해 PC에 설치되는 소프트웨어다.
이 소프트웨어는 한번 PC에 설치된 후 사용자가 별도로 업데이트하거나 삭제하지 않으면 최초 상태 그대로 PC에서 자동 실행된다. 이로 인해 보안 취약점이 한번이라도 노출되면 해커가 해킹 경로를 통해 지속적으로 악용할 수 있게 된다.
국정원은 “최근 국민 대다수 PC에 설치돼 있는 프로그램의 보안 취약점이 북한 해커의 악성코드 유포 경로로 연이어 악용되고 있어 각별한 주의가 필요하다”고 경고했다.
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]