통일부 사칭 메일 (이스트시큐리티 제공)© 뉴스1

최근 북한 해커 추정 조직의 통일부·카드회사·포털 사이트 사칭 이메일 피싱(Pishing) 공격이 이뤄진 것으로 확인됐다. 대북 분야 종사자들을 겨냥한 '스피어 피싱'(Spear Phising) 수법이다. '스피어 피싱'은 특정인을 상대로 한 피싱 공격을 말한다. 

31일 보안기업 이스트시큐리티에 따르면, 공격자는 지난 29일 통일부가 매달 발간하는 '월간북한동향'으로 위장한 해킹 메일을 북한분야 연구진 등 대북 전문가들에게 보냈다. 정확한 규모나 실체 등은 공개되지 않았지만 보안업계는 북한이 배후라고 입을 모으고 있다. 다만 러시아 정보기술(IT) 기업인 얀덱스의 이메일을 쓰지 않았다는 점에서 대표적인 북한 연계 조직 '금성 121'와는 관련이 없는 것으로 추정된다.

해커는 이날 대북 분야 종사자들에게 '[월간북한동향] 2022년 4월호'라는 제목의 해킹 메일을 전송했다. 메일에는 실제로 통일부가 사용하는 로고가 삽입됐다. 또 메일 본문 하단에는 '월간북한동향(2022년 4월).PDF'라는 짧은 글이 쓰여 있다.

문구를 클릭하면 'PDF 문서파일' 대신 공격자가 사전에 설정해 둔 외부 주소(URL)로 연결된다. 동시에 네이버 또는 카카오 이메일 로그인 화면으로 위장한 피싱 사이트가 뜨고, 이용자가 아이디와 비밀번호를 입력하면 개인정보가 유출된다.

KB국민카드 사칭 메일 (이스트시큐리티 제공)© 뉴스1

조직은 통일부 사칭 메일 이외에도 KB국민카드 안내문으로 위장한 메일도 28일 전송한 것으로 드러났다. '(KB국민카드, 기타안내) 개인회원 수수료율 변경 안내'라는 제목의 글이었다. 공격자가 동일한 서버주소로 네이버 또는 카카오 고객센터를 사칭해 메일을 보낸 것도 최근 확인됐다.

눈 여겨볼 점은 새 정부 출범 직후부터 통일부를 사칭해 대북 전문가를 겨냥한 해킹 시도가 계속 이어지고 있다는 것이다. 또다른 북한 연계 해커로 추정되는 조직은 윤석열 대통령 취임 첫날인 11일 '[월간북한동향] 2022년 3월호'라는 이름의 통일부 사칭 메일을 보낸 바 있다.

보안 업계는 이번 북한발 공격이 '빙산의 일각'이라고 본다. 국가기관·은행 같은 해킹에 비해 개인 대상 해킹을 얼마나 했는지는 파악하기 쉽지 않기 때문이다. 북한 해킹 조직 '킴수키'가 이름을 알린 것도 한국수력원자력(2014년), 한국원자력연구원(2020년) 같은 유명 기관을 공격을 하면서다. 

국내 사이버 안보 전문연구기업 이슈메이커스랩에 따르면 지난해 북한 추정 사이버 공격은 총 1462건으로 5건에 불과했던 2004년보다 300배 넘게 증가했다. 최근 북한 해커들은 군인을 포섭해 군사기밀을 빼낼 정도로 진화하고 있어서다. 앞서 한 20대 현역 대위는 북한 해커에게 비트코인 4800만원을 받고 군사기밀인 '한국군 합동지휘통제체계(KJCCS)' 로그인 자료를 유출하다가 지난달 적발된 바 있다. 

보안 전문가들은 잇단 해킹 공격이 불거지는 만큼, 일명 '제로트러스트 전략'을 기반으로 개인이 정보유출에 각별히 주의해야한다고 조언한다.

이번 공격을 분석한 문종현 이스트시큐리티 센터장은 "실제로 피해를 입었는지 모르는 사람들도 있다. 개인 이메일을 쓸 경우 '이차 인증'을 적극적으로 활용해야 한다"며 "해커들이 공무원들만 접속할 수 있는 사이트에 들어간 '이미지'까지 쓰는 경우도 있어 더욱 조심할 필요가 있다"고 말했다.

일각에서는 이번 한미정상회담 공동선언문에서 '사이버 보안'이 핵심 의제로 오른 만큼 정부 당국이 북한 연계 해커 조직에 적극적으로 나설지 기대가 된다는 목소리도 나온다.

한 보안업계 관계자는 "이번 공동선언문에서 '사이버 보안' 관련 키워드가 10번 넘게 나온 만큼, 사실상 크게 주목받지 못했던 '사이버 보안'과 북한 연계 조직이 어떻게 다뤄질지 관심이 쏠리고 있다"고 말했다.


woobi123@news1.kr