카카오 먹통 사태 편승한 北 사이버 위협..카카오 계정관리 서비스로 위장

기사내용 요약
카카오 계정관리 빌미로 비밀번호 유출 시도…탈취한 정보로 2차 공격 노려
北 사이버 위협, 카카오 서비스 장애 등 대국민 이슈로 공격 범위 확산
전문가 “카카오·네이버 등 널리 쓰이는 온라인 서비스 모두 피싱 대상” 경고

24일 보안업계에 따르면 카카오 계정관리를 빌미로 아이디와 비밀번호 유출을 시도하는 피싱이 확산되고 있다. (사진=뉴시스 그래픽)

[서울=뉴시스]송종호 기자 = 카카오 계정 관리 서비스로 속여 아이디와 비밀번호 유출을 시도하는 사이버 공격 시도가 포착됐다. 공격자는 서비스 장애를 겪었던 카카오가 정상화되자 업데이트 사칭 파일 대신 계정 관리라는 속임수를 썼다.

보안 전문가들은 북한 해커 조직의 소행으로 보고 이용자들의 주의를 당부했다. 앞서 카카오톡 서비스 정상화를 지원하는 업데이트 파일로 위장한 악성코드가 유포된 바 있다.

24일 보안업계에 따르면 과거 외교, 안보 이슈 등과 연계된 사이버 공격을 일삼던 북한이 최근 코로나19, 카카오 서비스 장애 등 대국민적 이슈에 편승한 사이버 위협으로 그 범위를 확장해가고 있다.

최상명 이슈메이커스랩 대표는 “과거에도 사회적 이슈가 있을 때마다 공격했지만 주로 을지연습 등 안보, 외교 부문에 국한된 경우가 많았다”라며 “최근에는 공격자들이 국민 생활과 좀 더 밀접한 이슈로 공격하는 사례가 늘었다”고 분석했다. 이슈메이커스랩은 해커조직과 관련된 악성코드 추적을 위해 만들어진 보안전문가 그룹이다.

그는 “(이번 피싱은) 많은 국민이 사용하는 카카오 서비스를 고려해, 사람들이 의심 없이 클릭하거나 파일을 내려받는 점을 노린 것”이라고 설명했다.

보안업계는 이번 피싱을 지난 16일 포착된 카카오 업데이트 사칭 피싱과 수법, 공격 대상 등이 동일한 점을 근거로 북한정찰총국 내 해커그룹인 김수키 소속의 하부조직으로 주도한 것으로 추정한다. 해당 조직은 최근 한국인터넷진흥원(KISA)의 내 PC 돌보미 서비스를 사칭한 피싱공격에도 관여한 것으로 의심받고 있다.

최 대표는 “김수키 그룹은 한국과 해외 공격 부문으로 나뉘는데, 최근에는 주로 해외 공격을 맡아왔던 파트가 타킷을 국내로 바꾸었다”라며 “수법, 코드 등이 이전까지는 해외 공격에서만 쓰여왔던 것”이라고 설명했다.

공격자는 문자메시지 등을 통해 피싱 링크를 보낸다. 이 링크를 누르면 “회원님의 소중한 정보 보호를 위해, 카카오계정의 현재 비밀번호를 확인해주세요”라는 안내 문구가 보인다.

하지만 이는 교묘하게 조작된 가짜 사이트다. 이 사이트에 비밀번호를 입력하고, 확인을 누르면 즉시 비밀번호가 공격자에게 유출된다.

이번 피싱은 비밀번호만 탈취해가는 것이 특징이다. 탈취된 비밀번호로 2차 공격을 노리는 것이다. 최 대표는 “카카오 계정을 탈취하면 다음 등 메일 서비스 로그인이 가능하다”라며 “메일에 저장된 주소록을 확보해, 피해자가 보낸 것처럼 위장한 메일을 보내 2차 공격을 시도할 것”이라고 짚었다. 1차 피해자의 PC 제어권을 탈취하기 보다는 개인정보를 유출해 2차공격자를 물색한다는 의미다.

그는 이 같은 피싱이 카카오뿐만 아니라 네이버 등 다른 온라인 서비스 계정에서도 확산되고 있다고 경고했다.

최 대표는 “온라인 서비스 계정을 탈취하는 피싱은 카카오, 네이버를 가리지 않고 발생하고 있다”라며 “다만 최근 카카오 서비스 장애 후 카카오 사칭 사례가 급증해 카카오 피싱만 보이는 착시현상으로, 어느 서비스도 안심할 수 있는 상황은 아니다”라고 지적했다.

☞공감언론 뉴시스 song@newsis.com