국정원, 對국민 추가피해 방지 및 보안주의 위해 北해킹공격 분석결과 최초 공개
네이버·카카오(다음) 등 사칭한 '해킹메일 전송', 전체 北해킹수법 74% 차지
[메트로신문] 최근 3년간 북한 해킹조직의 사이버 공격 중 74%가 이메일을 악용한 것으로 나타났다.
국가정보원(국정원)은 25일 북한의 해킹공격 유형, 사칭기관, 해킹공격에 사용한 메일 제목 및 실제 사칭 계정 등 2020~2022년까지 북한 해킹조직 사이버 공격 및 피해 통계를 공개했다.
국정원은 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행하고 있어 국정원이 처음으로 북한 해킹공격 관련 통계를 공개하며 대(對)국민 경각심을 제고하기 위함이라고 설명했다.
국정원 자료에 따르면 북한은 보안프로그램의 약점을 뚫는 '취약점 악용(20%)'이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등도 활용했지만, 이메일을 악용한 해킹공격이 전체의 74%를 차지하며 압도적으로 많았다.
이에 대해 국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은 결국 북한이 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻"이라며 "기존 북한의 주요 해킹 타깃이었던 전·현직 외교안보 분야 관계자 이외에, 대학교수·교사·학생 및 회사원 등도 해킹 피해를 보고 있다"고 밝혔다.
국정원은 북한이 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 '발신자명'과 '메일 제목'을 교묘하게 변형하고 있다고 설명했다.
피싱 이메일의 45%는 네이버[035420]를, 카카오[035720]가 운영하는 포털사이트 '다음'으로 위장한 이메일도 23%로 파악됐으며, 금융·기업·언론사(12%), 외교·안보 기관(6%) 순으로 집계됐다.
북한은 메일 발송자명을 '네이버', 'NAVER고객센터', 'Daum게임담당자' 등 포털사이트 관리자인 것처럼 위장했다.
발신자 메일주소도 'naver'를 'navor'로, 'daum'을 'daurn'로 표기하는 등 메일 수신자의 오인(誤認)을 유도했다.
일례로 국정원이 최근 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여건의 해킹메일이 들어있었으며 이 가운데 약 7000개가 네이버·다음 등의 국내 포털사이트를 사칭했다.
이와 함께 해킹 메일이 발송될 국내 이용자들의 이메일 주소 4100여개도 발견됐다.
아울러 북한은 피싱 이메일에 '새로운 환경에서 로그인되었습니다', '[중요]회원님의 계정이 이용제한되었습니다', '해외 로그인 차단 기능이 실행되었습니다' 등 계정 보안 문제가 생긴 것처럼 제목을 달기도 했다.
국정원은 메일 열람 시 ▲보낸 사람 앞에 붙어있는 '관리자 아이콘' ▲보낸 사람 메일주소 ▲메일 본문의 링크 주소를 반드시 확인하고 메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화를 권고했다.
보다 구체적인 국정원의 '해킹메일 대응요령'은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.
국정원 관계자는 "실효적인 해킹메일 차단 방안 마련을 위해서는 민간협력이 필수"라며 "네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다"고 밝혔다.
Copyright ⓒ Metro. All rights reserved. (주)메트로미디어의 모든 기사 또는 컨텐츠에 대한 무단 전재ㆍ복사ㆍ배포를 금합니다.
주식회사 메트로미디어 · 서울특별시 종로구 자하문로17길 18 ㅣ Tel : 02. 721. 9800 / Fax : 02. 730. 2882
문의메일 : webmaster@metroseoul.co.kr ㅣ 대표이사 · 발행인 · 편집인 : 이장규 ㅣ 신문사업 등록번호 : 서울, 가00206
인터넷신문 등록번호 : 서울, 아02546 ㅣ 등록일 : 2013년 3월 20일 ㅣ 제호 : 메트로신문
사업자등록번호 : 242-88-00131 ISSN : 2635-9219 ㅣ 청소년 보호책임자 및 고충처리인 : 안대성