국가정보원이 처음으로 북한 해킹공격 관련 통계를 공개하며 대국민 경각심 제고에 나섰다. 북한 해킹조직이 대한민국 국민을 대상으로 무차별·지속적 해킹공격을 진행하고 있어서다.
국정원이 공개한 ‘최근 3년간 북한 해킹조직의 사이버 공격 및 피해통계’에 따르면, 이메일을 악용한 해킹공격이 74%를 차지했다. 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%)이나 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법보다 압도적으로 높은 수치다.
국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 결국 북한이 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻”이라며 “기존의 주요 타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수·교사·학생 및 회사원 등도 해킹피해를 보고 있다”고 말했다.
북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형하고 있는 것으로 확인됐다.
먼저 북한은 메일 사용자가 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안해 해킹메일 유포 시 네이버·카카오(다음) 등 국내 포털사이트를 많이 사칭(약 68%)하고 있었다. 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 ‘포털사이트 관리자’인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인을 유도하고 있었다.
국정원은 “메일 수신자의 계정정보를 탈취하기 위해 열람을 유도하는, 사회 심리 공학적 피싱”이라고 말했다.
최근 국정원이 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여건의 해킹메일이 들어있었다. 이 중 약 7000개가 네이버·다음 등의 국내 포털사이트로 사칭한 메일이었다.
특히 북한은 메일 보안에 문제가 발생한 것처럼 보이는 ‘새로운 환경에서 로그인되었습니다.’, ‘[중요] 회원님의 계정이 이용제한되었습니다.’, ‘해외 로그인 차단 기능이 실행되었습니다.’ 등 제목의 해킹메일을 발송하고 있었다.
국정원은 북한발 해킹피해 예방을 위한 북한의 해킹메일 샘플과 대응요령도 안내했다.
메일 열람 시 △보낸사람 앞에 붙어있는 ‘관리자 아이콘’ △보낸사람 메일주소 △메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다. 또 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화 조치도 필요하다.
자세한 대응요령은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.
국정원 관계자는 “실효적인 해킹메일 차단 방안 마련을 위해선 민간 협력이 필수”라면서 “네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
