​메일 수신자의 계정정보를 탈취하기 위해 열람을 유도하는 사회 심리 공학적 피싱 공격

국정원, 대국민 추가피해 방지 및 보안 경고 위해 북한 해킹공격 분석결과 최초 공개

<i># 중학교 교사 이모 씨는 ‘포털사이트 관리자’ 명의로 발송된 메일을 무심코 열람했다가, 수년치 메일 송수신 내용은 물론, 클라우드에 저장된 이력서와 개인 파일들이 통째로 유출되는 피해를 당했다. 이모 씨가 수신한 메일은 북한 정찰총국이 보낸 해킹용 메일이었다.</i>

<i>
</i>

<i># 회사원 김모 씨는 ‘비밀번호가 유출되었습니다’라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계 기관으로부터 “메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다”는 통보를 받았다. 코로나19 상황 가운데 재택근무를 위해 개인메일 계정으로 전송했던 민감 업무자료가 모두 북한으로 빠져나간 것이었다.</i>

[보안뉴스 김영명 기자] 북한 해킹조직들이 우리나라 국민을 대상으로 무차별·지속적 해킹공격을 감행하고 있다. 이에 따라 국가정보원이 처음으로 북한 해킹공격 관련 통계를 공개하며 대 국민 경각심 제고에 나섰다.

​

▲북한이 사용한 해킹메일 샘플 중 네이버 및 카카오(다음) 관리자 사칭 해킹메일 샘플(좌부터)[자료=국가정보원]

국정원은 국가·공공기관 및 국제·국가배후 해킹조직에 대응하는 과정에서 집계한 대한민국 대상 해킹공격 자료 중, 2020~2022년에 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해통계를 공개했다. 이날 국정원이 공개한 내용에는 △북한의 해킹공격 유형 △사칭기관 △해킹공격에 사용한 메일 제목 △실제 사칭 계정 등이 담겼다.

공개 자료에 따르면, 북한은 △보안프로그램의 약점을 뚫는 ‘취약점 악용’ 20% △특정사이트 접속시 악성코드가 설치되는 ‘워터링 홀’ 3% △공급망 2% 등도 활용했지만 △이메일을 악용한 해킹 공격이 전체의 74%를 차지했다.

국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은 결국 북한이 우리 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻”이라며 “기존 북한의 주요 해킹 타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수와 교사, 학생 및 회사원 등도 해킹 피해를 입고 있다”고 했다.

북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형하고 있다는 것이 국정원의 설명이다.

먼저 북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안해 해킹메일 유포 시 네이버·카카오(다음) 등 국내 포털사이트를 사칭하는 비율이 전체 사칭 해킹메일의 68%를 차지하고 있었다.

​

▲대응요령-관리자 아이콘 확인_네이버 및 카카오(다음)(위부터)[자료=국가정보원]

실제 북한은 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 ‘포털사이트 관리자’인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인(誤認)을 유도하고 있었다. 국정원은 “메일 수신자의 계정정보를 탈취하기 위해 열람을 유도하는 사회 심리 공학적 피싱”이라고 했다.

일례로 최근 국정원이 국내 해킹사고 조사과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여 건의 해킹 메일이 들어있었다. 또 다른 공격을 위한 것으로 추정되는데, 이 가운데 약 7,000개가 네이버·다음 등의 국내 포털사이트를 사칭한 메일이었다. 그뿐만 아니라, 해킹 메일이 발송될 국내 가입자 이메일 주소 4,100여개도 발견됐다.

​

▲보낸사람 메일주소 확인-네이버 및 카카오(다음)(위부터)[자료=국가정보원]

또한, 해킹메일 사칭기관은 △네이버 45% △카카오(다음) 23% △금융·기업·방송언론 12% △외교안보 6% △기타 14% 등이다. 아울러 북한은 메일 사용자들을 속이기 위해 △‘새로운 환경에서 로그인되었습니다’ △‘[중요] 회원님의 계정이 이용제한되었습니다’ △‘해외 로그인 차단 기능이 실행되었습니다’ △‘회원님의 본인확인 이메일 주소가 변경되었습니다’ △‘알림 없이 로그인하는 기기로 등록되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있었다.

​

▲메일 본문의 링크 주소 확인-네이버 및 카카오(다음)(위부터)[자료=국가정보원]

메일 발신자 사칭 방법은 네이버를 사칭할 때는 △‘네0|버’(숫자 0) △‘네O|버’(영어 O) △‘네이버 ’ △‘네이버、’ △‘ ⓒ네이버’ △‘(주)네이버’ △‘NAVER고객쎈터’ △‘ 네이버 MYBOX ’ 등으로, 카카오(다음)를 사칭할 때는 △？Daum 고객센터 △ Daum 보안쎈터 △Daum 고객지원 △[Daum]고객센터 △다음메일 커뮤니케이션 △Clean Daum △ ‘카카오팀’ △Daum 캐쉬담당자 등으로 발신자명을 사용했다.

​

▲로그인 화면 주소 확인-네이버 및 카카오(다음)(위부터)[자료=국가정보원]

국정원은 “북한은 해킹메일로 확보한 계정정보를 이용해 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 밝혔다.

해킹메일의 식별 방법은 첫 번째로 아이콘 확인이 있다. 발신자 이름이 똑같이 ‘네이버’ 및 ‘Daum게임담당자’이지만 정상메일과 해킹메일의 아이콘은 서로 다르다. 두 번째로 보낸 사람 메일 주소를 확인하면 된다. 해킹메일 발신자의 메일 주소를 확인해 보면, 포털 공식메일로 오인할 수 있는 주소를 사용하고 있다. 세 번째로, 링크 주소를 확인하면 된다. 피싱메일 본문의 링크에 마우스를 올려보면 브라우저 왼쪽 아래에서 수상한 링크를 확인할 수 있다. 네 번째는 로그인 화면 주소를 확인하면 된다. 보안접속일 때는 ‘https://...’로 시작되며, 로그인 접속 URL은 “nid.naver.com/...”(네이버)과 “accounts.akako.com/...”(카카오(다음))이다. 또한, 주소창 왼쪽 끝에 자물쇠 마크 또는 접속 계정의 공식 로고가 있는지 확인하는 것도 하나의 방법이다.

​

▲메일 무단열람 방지를 위한 2단계 인증 설정-네이버 및 카카오(다음)(위부터)[자료=국가정보원]

한편, 국정원은 북한발 해킹피해를 예방하기 위해 실제 북한의 해킹메일 샘플과 이에 대한 대응요령도 안내했다. 국정원은 “메일을 열람할 때는 보낸 사람 앞에 붙어있는 ‘관리자 아이콘’, 보낸 사람 메일 주소, 메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다”며 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화를 당부했다. 보다 구체적인 국정원의 ‘해킹메일 대응요령’은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.

국정원 관계자는 “해킹메일을 차단하기 위한 실효적인 방안을 마련하기 위해서는 민간 협력이 필수”라며 “네이버와 카카오 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다”고 밝혔다.

[김영명 기자(boan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=118493&page=2&mkind=1&kind=2)]