北 ‘해킹 e메일’ 68%, 네이버-카카오 사칭

국정원, 최근 3년 사이버공격 분석
관리자 가장 ‘계정 제한’ 제목 유인
‘쿠키 삭제’ 클릭 유도해 정보 탈취

북한이 최근 3년간 국내 개인과 기관을 상대로 보낸 ‘해킹 e메일’의 68%가량이 네이버, 카카오 등 국내 포털 사이트 관계자를 사칭해 보낸 것으로 드러났다.

국가정보원은 25일 이 같은 내용을 담은 ‘2020∼2022년 북한 해킹 조직에 의한 사이버 공격 및 피해 통계’를 발표했다. 국정원에 따르면 북한의 해킹 수법 중 가장 큰 비중을 차지한 건 e메일을 이용한 해킹 공격(74%)이었다. 북한 해킹 조직이 네이버 등 포털 사이트 관리자가 보낸 것처럼 가장한 e메일을 발송하고, 이를 클릭한 사람의 컴퓨터에 악성코드를 심거나 계정 정보를 빼내는 방식으로 사이버 공격을 하는 것. 또 북한 해커들이 컴퓨터 보안 프로그램의 약점을 공격하는 ‘취약점 악용’(20%), 특정 사이트 접속을 유도해 악성코드를 유포하는 ‘워터링홀’(3%) 수법도 등장했다.

북한이 해킹 e메일에서 가장 많이 사칭한 기관은 네이버(45%), 카카오(23%), 금융·기업·방송·언론(12%), 외교안보 관련 기관(6%) 순이었다. 특히 북한 해킹 조직은 교묘하게 기업의 정식 명칭에서 한 글자 정도만 바꾼 ‘네0ㅣ버 고객센터’ 등을 발송자 이름에 적고 “회원님의 계정이 이용 제한되었습니다”, “해외 로그인 차단 기능이 실행되었습니다” 등의 제목으로 e메일을 보냈다. 또 북한은 e메일을 열람한 개인이나 기관에 ‘계정 다시 등록하기’, ‘쿠키 삭제하기’ 버튼을 누르도록 유도해 개인정보를 탈취한 것으로 드러났다. 발신자의 메일 주소도 ‘navor’, ‘daurn’ 등으로 되어 있어 이용자들이 무심코 e메일을 열어보도록 위장했다.

국정원 관계자는 “e메일 발신자 이름이 똑같이 ‘네이버’라 하더라도 정상 메일과 해킹 메일 아이콘이 서로 다르다”며 “보낸 사람 앞에 ‘관리자’ 아이콘이 붙어 있는지, 보낸 사람의 e메일 주소가 정확한지를 반드시 확인해야 한다”고 주문했다.

고도예 기자 yea@donga.com