국정원, ‘국내 포털사이트 사칭 北 해킹’ 주의 촉구

3년간 이메일 악용 해킹 74%…공격 대상 전국민 확대
발신자명·메일 교묘히 변형…‘새로운 환경 로그인’ 주의
관리자아이콘·보낸사람 메일·링크주소 반드시 확인해야

[이데일리 박태진 기자] 국내 포털사이트를 사칭한 북한 해커 조직의 사이버 공격이 계속돼 정부가 주의를 촉구했다.

국가정보원은 북한 해커 조직들이 국민들을 대상으로 무차별·지속적 해킹 공격을 진행하고 있다며 최근 3년(2020~2022년)간 발생한 사이버 공격 및 피해 통계를 25일 공개했다.

이날 국정원이 공개한 자료에 따르면 3년간 북한의 사이버 공격 유형은 이메일을 악용한 해킹 공격이 전체의 74%로 압도적으로 많았다. 보안프로그램의 약점을 뚫는 ‘취약점 악용’(20%)이나 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법 등도 활용했다.

국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은 북한이 전·현직 외교분야 관계자를 포함한 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻이라는 게 국정원 설명이다.

북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형했다.

사칭 기관 비중은 네이버·카카오(다음) 등 국내 포털사이트가 약 68%에 달했다. 예컨대 북한은 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 포털사이트 관리자인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인을 유도했다.

최근 국정원이 국내 해킹사고 조사과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만 여건의 해킹메일이 들어 있었다.

아울러 북한은 메일 사용자들을 속이기 위해 ‘새로운 환경에서 로그인되었습니다’, ‘[중요] 회원님의 계정이 이용제한되었습니다’, ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송했다.

국정원은 메일 열람 시 보낸사람 앞에 붙어 있는 ‘관리자 아이콘’과 보낸사람 메일주소, 메일 본문의 링크주소 등 3가지를 반드시 확인할 것을 당부했다. 아울러 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화도 권고했다.

박태진 (tjpark@edaily.co.kr)