"daurn 절대 열지 마세요"…北해커, '다음' 위장 피싱메일

북한 해커 조직 김수키, 피싱 메일 유포
비밀번호 변경 유도…클릭시 공격자 서버

북한 해커 조직 '김수키(Kimsuky)'가 카카오가 운영하는 포털사이트 '다음(daum)'을 위장한 피싱 메일로 이용자들의 비밀번호 탈취를 시도한 것으로 알려졌다.

사이버 보안업체 이스트시큐리티는 최근 자사 블로그 내 '악성코드 분석 리포트' 내에 이 같은 내용을 게시했다.

이번에 발견된 피싱 메일은 '[긴급] 지금 바로 비밀번호를 변경해 주세요.'라는 제목으로 유포됐다. 공격자는 발신자 도메인을 'daurn.net'으로 사용해 다음(daum) 도메인인 것처럼 보이려 했다.

이메일 본문에는 "회원님의 비밀번호와 개인정보가 타인에게 도용되었을 수 있습니다"라는 문구가 빨간색으로 쓰여 있으며, 메일 중간 부분에 활성화된 '지금 비밀번호 변경하러 가기' 하이퍼링크를 클릭하면 카카오 로그인 페이지인 것처럼 만들어진 피싱 사이트에 접속된다. 그다음 '비밀번호 확인 및 변경'을 이유로 비밀번호 입력을 유도하는데, 만일 사용자가 이곳에 비밀번호 정보를 입력하면 정보는 고스란히 공격자 서버로 전송된다.

북한 해킹 조직 '김수키'가 보낸 피싱 메일. [사진출처=연합뉴스]

이스트시큐리티는 여러 지표를 분석한 결과, 이 공격 배후에 북한 정찰총국 산하 해킹 조직 김수키가 있는 것으로 결론냈다. 김수키는 2010년경부터 국방부, 통일부 등 정부 부처 및 유관기관을 해킹해 사회기반 시설, 탈북자 등의 관련 자료를 빼낸 북한의 해킹 조직으로, 최근에는 한국은 물론 아시아·태평양 지역 국가들에게까지 공격 범위를 넓히고 있다.

김수키는 지난해 최소 세 차례에 걸쳐 외교안보·통일·국방 전문가 892명에게 피싱 메일을 보냈으며, 지난해 10월에는 카카오 계정 관리 서비스로 위장해 탈북민 등의 아이디·비밀번호 탈취를 시도하기도 했다.

이스트시큐리티는 "기관, 기업뿐만 아니라 관련 분야의 민간 전문가들 및 민간단체를 대상으로 한 북한의 사이버 공격이 지속되고 있는 만큼 관련자들의 각별한 주의가 필요하다"고 당부했다.

김현정 기자 khj27@asiae.co.kr