‘daum’인 줄 알았는데 ‘daurn’이네! 피싱 메일 주의보

다음 도메인·카카오로그인 누리집 위장
이스트시큐리티, 북 ‘김수키’ 배후 지목

게티이미지뱅크

북한 해커 조직으로 추정되는 ‘김수키’가 다음·카카오 서비스를 위장한 피싱 메일로 국내 이용자들의 비밀번호 등 정보 탈취를 시도하고 있어 주의가 필요하다는 분석이 나왔다.

컴퓨터 보안업체 이스트시큐리티는 지난 13일 “[긴급]지금 바로 비밀번호 변경해 주세요”라는 제목의 피싱 이메일이 대량 유포됐다며 16일 이용자 주의를 당부했다.

이스트시큐리티에 따르면, 해당 공격자는 이메일 발신 도메인을 카카오가 운영하는 다음 메일 도메인 ‘daum.net’과 유사해보이는 ‘daurn.net’을 이용해 이용자들에게 1차적인 혼란을 줬다. 이어 본문에는 ‘수신자 계정 정보가 도용된 것으로 의심된다’며 비밀번호를 바꿀 것을 유도하는 내용과 함께, 카카오 계정 관리 누리집을 위장한 피싱 누리집의 하이퍼링크가 포함돼 있다. 이용자가 이 누리집에 비밀번호 정보를 입력하면, 이 정보가 고스란히 공격자 서버로 전송된다.

이스트시큐리티는 이용자들이 이메일을 열어보기 위해 사용하는 도구에 ‘그림 자동 다운로드 옵션’이 활성화되어 있는지 여부도 살펴봐야 한다고 당부했다. 공격자가 보낸 피싱 이메일에 내장된 특정 코드로 인해, 이 옵션이 켜져 있는 경우 이용자 정보가 공격자에게 전달될 수 있기 때문이다.

북한 해커 조직 ‘김수키’로 의심되는 공격자가 보낸 피싱 메일 예시. 이스트시큐리티 제공

이스트시큐리티 관계자는 “마이크로소프트 아웃룩이나 구글 지메일의 경우, 이 옵션이 기본적으로 비활성화되어 있어 이용자가 직접 다운로드 버튼을 눌러야 하지만, 국내 대표 이메일 포털 ‘다음’은 이 옵션이 기본으로 허용되어 있어 이메일을 열람하는 동시에 사용자 정보가 유출될 수 있다”고 말했다.

이스트시큐리티는 “여러 지표를 분석한 결과, 이번 공격의 배후에 북한 정찰총국의 지원을 받는 해킹 조직으로 의심되는 ‘김수키’(Kimsuky)가 있는 것으로 파악했다”고 밝혔다. 이어 “기관과 기업뿐 아니라 민간분야 전문가와 단체들을 대상으로 한 사이버 공격이 지속적으로 일어나고 있어 각별한 주의가 필요하다”고 덧붙였다.

정인선 기자 ren@hani.co.kr