“daurn 열지 마세요”…‘다음’ 위장한 北해커 피싱이었다

“비밀번호 변경하라” 제목으로 피싱 메일 유포

쿠키뉴스DB

북한 해커 조직 ‘김수키’가 카카오가 운영하는 포털사이트 ‘다음(daum)’을 위장한 피싱 메일을 보내 사용자들의 비밀번호 탈취를 시도한 것으로 나타났다. 

16일 보안업계에 따르면 최근 이스트시큐리티는 이같은 내용의 악성코드 분석 리포트를 자사 블로그에 게재했다. 

해커 조직은 발신자 도메인을 ‘daurn.net’으로 사용해 daum 도메인처럼 보이도록 위장했다. 

‘[긴급] 지금 바로 비밀번호를 변경해 주세요’라는 제목으로 메일이 유포됐으며, 이메일 본문에는 수신자의 계정 정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 하이퍼링크가 포함됐다. 

해당 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 페이지로 접속된다. 만약 사용자가 피싱 페이지에 비밀변호 확인 및 변경을 이유로 정보를 입력하면 입력한 정보는 고스란히 공격자 서버로 전송된다. 

이스크시큐리티는 이번 피싱 메일의 배수에 북한 정찰총국 산하 해킹 조직인 김수키가 있다고 설명했다. 

북한 해킹 조직의 피싱메일. 사진=이스크시큐리티 블로그

김수키는 지난 2014년 한국수력원자력 원전 도면 유출과 2015년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목되는 해킹 조직이다.

지난해에만 최소 세 차례 피싱메일을 △4월 제20대 대통령직 인수위원회 출입기자 △5월 태영호 국민의힘 국회의원 비서△10월 국립외교원 관계자 등을 사칭해 국내 외교 안보 전문가들에게 유포했다. 경찰청 국가수사본부에 따르면 김수키는 악성프로그램이 담긴 메일을 최소 892명의 국내 전문가에게 발송했고 이메일을 받은 전문가 중 49명이 실제로 해킹 피해를 입었다. 

또한 컴퓨터 데이터를 암호화해 사용 불능 상태로 만든 후 해제를 대가로 돈을 요구하는 ‘랜섬웨어’ 프로그램을 국내 중소기업에 유포해 금품도 뜯어낸 사실도 드러난 바 있다. 

이스트시큐리티는 “기관, 기업뿐 아니라 관련 분야의 민간 전문가들 및 민간 단체를 대상으로 한 북한의 사이버 공격이 지속되고 있는 만큼 관련자들의 각별한 주의가 필요하다”고 설명했다.

임지혜 기자 jihye@kukinews.com