이런 메일 보이면 주의…北 해킹조직, ‘다음’ 메일 위장해 정보 탈취 시도

사진=게티이미지뱅크

북한의 해킹조직 김수키(Kimsuky)가 카카오를 위장해 사이버공격을 감행하는 정황이 포착됐다.

15일 자유아시아방송(RFA)에 따르면 사이버 보안업체 이스트시큐리티(EST security)는 최근 홈페이지를 통해 북한이 카카오를 위장해 사용자들의 비밀번호를 탈취하려는 피싱 시도를 하고 있다고 밝혔다.

이번에 발견한 피싱 메일은 ‘[긴급] 지금 바로 비밀번호를 변경해주세요’라는 제목으로 유포됐고 카카오 기업 소유의 다음 이메일 서비스를 위장하고 있다.

공격에 사용된 이메일 발신자 주소는 ‘daum’과 유사한 ‘daurn’으로, 다음의 공식 이메일인 것처럼 만들어 마치 다음 측이 보낸 이메일처럼 보이게 해 사용자들에게 혼란을 주기 위한 것으로 보인다.

메일 내용은 수신자의 계정 정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 링크가 포함돼 있다.

사진출처=이스트시큐리티 홈페이지

이스트시큐리티는 해당 이메일에는 자동으로 사용자의 정보를 공격자에게 전달하는 코드가 포함돼 있어 별도로 그와 관련된 기능을 차단하도록 설정해놓지 않는 이상 이메일 열람과 동시에 사용자 정보가 유출된다고 설명했다.

또한 이메일 본문 내 비밀번호 변경을 위한 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 페이지로 접속되는데, 만일 사용자가 피싱 페이지에 기존 비밀번호를 입력하면 그 정보는 그대로 공격자의 서버로 전송된다고 덧붙였다.

이렇게 훔친 비밀번호 정보는 북한 해커들이 피해자의 메일 서비스에 접속해 피해자가 보낸 것처럼 위장한 메일을 보내 새로운 정보를 탈취하는 2차 공격에 사용될 수 있다.

이스트시큐리티는 여러 지표들을 분석한 결과 이번 공격의 배후가 북한 정찰총국의 지원을 받는 해킹조직 김수키인 것으로 결론지었다고 밝혔다.

이스트시큐리티는 이번 피싱 공격의 피해 여부에 대해서는 공개하지 않았다.

문종현 이스트시큐리티 시큐리티대응센터장은 “해외나 국내 중소기업 서버가 아닌 국내 유명 대학들의 서버를 이용한다는 점이 이례적”이라면서 “새해에도 북한의 사이버 공격이 잇따라 이뤄지고 있는 만큼 각별한 주의가 필요하다”고 말했다.

앞서 북한은 10월에도 카카오 계정 관리 서비스로 위장해 북한 관련 업계 종사자 및 탈북민들의 아이디와 비밀번호 탈취를 시도했다.

조유경 동아닷컴 기자 polaris27@donga.com