또 북한발 해킹?... “‘daum’ 아닌 ‘daurn’에서 메일 오면 주의”

북한 소속으로 추정되는 해킹조직이 다음(daum)과 유사한 영문 표기 'daurn' 도메인을 이용해 해킹을 시도하고 있다. / 이스트시큐리티

북한 소속으로 추정되는 해킹조직이 카카오를 위장해 개인 정보를 탈취하려는 정황이 포착됐다.

14일 자유아시아방송(RFA)에 따르면 한국 사이버보안업체 이스트시큐리티는 다음(daum)과 유사한 영문 표기 ‘daurn’ 도메인을 이용해 사용자들의 비밀번호를 탈취하려는 피싱(phishing) 시도가 일어나고 있다고 밝혔다. 이스트시큐리티는 이번 공격이 북한 정찰총국의 지원을 받는 해킹조직 ‘김수키’에 의해 이뤄졌다고 분석했다.

피싱 메일은 ‘[긴급] 지금 바로 비밀번호를 변경해주세요’라는 제목으로 전송됐다. 메일 본문에는 ‘안녕하세요, Daum입니다. 회원님의 비밀번호와 개인정보가 타인에게 도용되었을 수 있습니다’ 등의 내용이 담겼다. 비밀번호를 변경하라며 수신자를 피싱 페이지로 유도하려는 전략이다. 만일 수신자가 메일에 있는 ‘지금 비밀번호 변경하러 가기’ 아웃링크를 클릭하면, 피싱 페이지로 넘어간다.

북한 소속으로 추정되는 해킹조직이 다음(daum)과 유사한 영문 표기 'daurn' 도메인을 이용해 해킹을 시도하고 있다. / 이스트시큐리티

피싱 페이지는 ‘카카오 계정 관리’ 페이지를 위장하고 있었다. 여기에는 비밀번호 확인 및 변경을 이유로 비밀번호 입력을 유도하는 입력란이 있다. ‘회원님의 소중한 정보 보호를 위해, 카카오계정의 현재 비밀번호를 확인해주세요’라고 적혀있다. 만일 수신자가 비밀번호를 입력하면, 정보가 공격자 서버에 고스란히 전송되는 방식이다.

이스트시큐리티는 “해당 이메일에는 자동으로 사용자의 정보를 공격자에게 전달하는 코드가 포함돼 있어, 별도로 그와 관련된 기능을 차단하도록 설정하지 않는 이상 이메일 열람과 동시에 사용자 정보가 유출된다”며 “사용자가 피싱 페이지에 접속해 기존 비밀번호를 입력하면 그 정보는 그대로 공격자의 서버로 전송된다”고 설명했다. 그러면서 “북한이 최근 기관, 기업뿐만 아니라 관련 분야의 민간 전문가들과 단체들을 대상으로 사이버 공격을 지속하고 있다”고 했다.

지난해 10월에도 유사한 방식의 북한발 해킹 공격이 포착됐던 바 있다. 당시 해킹 공격은 국립외교원 외교안보연구소(IFANS) 행사 초대장을 위장해 진행됐는데, 이메일 본문의 초청장 이미지를 누르면 가짜 설문지로 연결됐다. 설문지에서 성명, 소속, 직위, 연락처 등의 개인정보를 입력하면 구글 로그인 페이지로 위장한 피싱 페이지가 나왔다. 여기서 사용자 아이디 및 비밀번호 탈취하는 방식이었다.