'해킹메일 전송'이 전체 北해킹수법의 74% 차지
"포털사이트 관리자인 것처럼 메일 발송"

중학교 교사 이모 씨는 '포털사이트 관리자' 명의로 발송된 메일을 무심코 열람했다가 수년치 메일 송수신 내용과 클라우드 저장 이력서 와 개인 파일들이 통째로 유출되는 피해를 입었다. 이씨가 수신한 메일은 북한 정찰총국이 보낸 해킹용 메일이었다.

회사원 김모 씨는 '비밀번호가 유출되었습니다'라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계 기관으로부터 "메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다"는 통보를 받았다.

국가정보원은 25일 해킹공격 관련 통계를 공개하고 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행하고 있다고 밝혔다.

통계는 국가·공공기관 및 국제·국가배후 해킹조직에 대응하는 과정에서 국정원이 집계한 최근 3년(2020~2022년)간의 북한 해킹조직의 사이버 공격 및 피해 상황이다.

국정원에 따르면 북한은 보안프로그램의 약점을 뚫는 '취약점 악용'(20%)이나 특정사이트 접속시 악성코드가 설치되는 '워터링 홀'(3%) 수법 이외에 이메일을 악용한 해킹공격을 주로 사용했다. 전체의 74%가 이메일 해킹이다.

국정원에 따르면 북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 '발신자명'을 보는 점에 착안, 해킹메일을 유포시 네이버·카카오(다음) 등 국내 포털사이트를 많이 사칭(약 68%)하고 있었다.

실제로 북한은 메일 발송자명을 '네이버', 'NAVER고객센터', 'Daum게임담당자' 등 포털사이트 관리자인 것처럼 위장했다. 발신자 메일주소도 'naver'를 'navor'로, 'daum'을 'daurn'로 표기했다.

아울러 북한은 메일 사용자들을 속이기 위해 △새로운 환경에서 로그인되었습니다 △[중요] 회원님의 계정이 이용제한되었습니다 △해외 로그인 차단 기능이 실행되었습니다 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있었다.

국정원은 "북한은 해킹메일로 확보한 계정정보를 이용하여 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"고 밝혔다.

국정원은 실효적인 해킹메일 차단 방안 마련을 위해 민간협력이 필수라며 "네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다"고 밝혔다.

KPI뉴스 / 김지우 기자 kimzu@kpinews.kr

[ⓒ KPI뉴스. 무단전재-재배포 금지]