국정원은 보낸 사람 앞에 붙어있는 '관리자 아이콘'을 확인해야 한다고 당부했다. 〈사진=국가정보원〉
#메일 제목 : '새로운 환경에서 로그인되었습니다.', '[중요] 회원님의 계정이 이용제한되었습니다' 이렇게 e메일을 받는다면 포털 관리자가 보낸 것이라고 깜빡 속기 쉽습니다. 국내 포털사이트 관리자를 사칭한 북한의 해킹 수법이 늘고 있는 것으로 전해졌습니다. 메일 수신자가 의심 없이 열람하도록 유도하기 위한 수법인데, 일반인 피해도 나타나고 있습니다.
25일 국정원은 2020년부터 2022년까지 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해 통계를 공개했습니다.
내용을 살펴보니 네이버와 카카오(다음) 등 국내 포털사이트를 사칭한 해킹메일 전송이 전체의 74%를 차지했습니다. 이 외에는 보안프로그램의 약점을 뚫는 '취약점 악용'(20%), 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀'(3%) 수법 등이 있었습니다.
압도적으로 많은 수치가 나온 포털사이트 사칭 수법의 경우, 발신자명과 메일 제목을 관리자처럼 교묘하게 바꿔 메일 수신자를 함정에 빠뜨렸습니다.
실제 북한은 메일 발신자명을 '네이버', 'NAVER고객센터', 'DAUM게임담당자' 등으로 위장했습니다. 발신자 메일 주소도 'naver'를 'navor'로, 'daum'을 'daurn'으로 표기했습니다.
메일 제목은 '새로운 환경에서 로그인되었습니다.', '[중요] 회원님의 계정이 이용제한되었습니다', '해외 로그인 차단 기능이 실행되었습니다' 등 보안 문제가 생긴 것처럼 발송해 열람을 유도했습니다.
국내 포털사이트를 사칭한 북한의 해킹 수법. 〈사진=국가정보원〉
국정원이 공개한 실제 사례에는 '포털사이트 관리자' 명의로 발송된 메일을 무심코 열람했다가 수년 치 메일 내용과 클라우드에 저장된 이력서 및 개인 파일이 통째로 유출되는 경우가 있었습니다. 확인한 결과 해당 메일은 북한 정찰총국이 보낸 해킹용 메일이었습니다.
또 '비밀번호가 유출되었습니다'라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다가 메일에 저장돼 있던 업무자료 등이 북한 해커에게 빠져나간 사례도 있었습니다.
이같은 북한의 해킹은 기존 주요 타깃이었던 전·현직 외교안보 분야 관계자 외에 대학교수·교사·학생·회사원 등 일반인에게까지 확대되고 있는 것으로 파악됐습니다.
국정원 관계자는 "국민 대부분이 사용하는 메일을 통한 해킹 공격을 한다는 것은 결국 북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다는 뜻"이라고 말했습니다.
국정원은 북한발 해킹 피해를 예방하기 위해 ▶보낸 사람 앞에 붙어있는 '관리자 아이콘' ▶보낸 사람 메일주소 ▶메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다고 전했습니다. 메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화도 당부했습니다.