RFA "북 해킹조직, 카카오 위장 비번 탈취 피싱 공격"

기사내용 요약
이스트시큐리티 "다음 이메일 서비스 위장해 비밀번호 탈취 시도"

[서울=뉴시스] 김지은 기자 = 북한의 해킹조직 김수키(Kimsuky)가 카카오를 위장해 사이버 공격을 감행하는 정황이 포착됐다.

15일 자유아시아방송(RFA)에 따르면 사이버 보안업체 이스트시큐리티(EST security)는 최근 홈페이지를 통해 북한이 카카오를 위장해 사용자들의 비밀번호를 탈취하려는 피싱 시도를 하고 있다고 밝혔다.

이번에 발견된 피싱 메일은 '[긴급] 지금 바로 비밀번호를 변경해주세요.'라는 제목으로 유포됐으며, 카카오 기업 소유의 다음 이메일 서비스를 위장하고 있다.

공격에 사용된 이메일 발신자 주소는 'daum'과 유사한 'daurn'으로, 이는 다음의 공식 이메일인 것처럼 만들어 사용자들에게 혼란을 야기하려는 의도로 파악된다.

이스트시큐리티는 여러 지표들을 분석한 결과 이번 공격의 배후가 북한 정찰총국의 지원을 받는 해킹조직 김수키인 것으로 결론지었다고 밝혔다.

이번 피싱 이메일 본문에는 수신자의 계정 정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 링크가 포함돼있다.

이스트시큐리티는 해당 이메일에는 자동으로 사용자의 정보를 공격자에게 전달하는 코드가 포함돼 있어 별도로 그와 관련된 기능을 차단하도록 설정해놓지 않은 이상 이메일 열람과 동시에 사용자 정보가 유출된다고 설명했다.

또한 이메일 본문 내 비밀번호 변경을 위한 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 페이지로 접속되는데, 만일 사용자가 피싱 페이지에 기존 비밀번호를 입력하면 그 정보는 그대로 공격자의 서버로 전송된다고 덧붙였다.

이렇게 훔친 비밀번호 정보는 북한 해커들이 피해자의 메일 서비스에 접속해 피해자가 보낸 것처럼 위장한 메일을 보내 새로운 정보를 탈취하는 2차 공격에 사용될 수 있다.

이스트시큐리티는 이번 피싱 공격의 피해 여부에 대해서는 공개하지 않았다.

앞서 북한은 지난 10월에도 카카오 계정 관리 서비스로 위장해 북한 관련 업계 종사자 및 탈북민들의 아이디와 비밀번호 탈취를 시도했다.

☞공감언론 뉴시스 kje1321@newsis.com