‘네Ol버고객쎈터’ 이상한 이메일… 알고보니 北 해킹

국민일보 그래픽

북한이 발신자명과 제목을 교묘하게 변형한 이메일을 활용해 해킹을 시도한 것으로 드러났다.

국가정보원은 지난 25일 이런 내용을 담은 ‘북한 해킹조직으로부터의 사이버 공격 및 피해 통계(2020~2022)’를 발표했다. 통계 자료에 따르면 북한의 해킹 수법 가운데 가장 큰 비중을 차지한 것은 이메일을 이용한 해킹 공격(74%)이었다. 해킹 메일로 확보한 계정정보를 이용하여 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석한 뒤 2~3차 공격대상자를 선정해 악성코드 유포 등 공격하는 식이었다.

북한의 해킹 메일 사칭 기관은 네이버 45%, 카카오(다음) 23%였다. 해킹 메일의 68%가 국내 포털 사이트 관리자를 사칭하는 식으로 이뤄졌다.

국내 포털사이트 네이버를 사칭한 북한의 해킹 수법. 국정원 제공

실제로 북한은 메일 발송자명을 ‘NAVER고객쎈터’ ‘㈜네이버’ ‘Daum 고객지원’ ‘[Daum] 고객센터’ 등 포털사이트 관리자인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 적어 이용자들이 별다른 생각 없이 메일을 열어보도록 했다.

또 북한은 메일 사용자들을 속이기 위해 ‘새로운 환경에서 로그인되었습니다’ ‘[중요] 회원님의 계정이 이용 제한되었습니다’ ‘[보안공지]비정상적인 로그인이 감지되었습니다’라는 제목을 달아 계정 보안 문제가 생긴 것처럼 해킹 메일을 발송하고 있는 것으로 나타났다.

정상적인 네이버 관리자 메일(파란색)과 관리자 사칭 해킹 메일(빨간색 상자). 국정원 제공

국정원은 관계자는 메일을 열 때는 보낸 사람 앞에 붙어있는 관리자 아이콘, 보낸 사람의 메일 주소, 메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다고 설명했다. 아울러 메일 무단열람 방지를 위한 2단계 인증 설정을 하는 등 메일 보안을 강화할 것도 당부했다.

서지윤 인턴기자 onlinenews1@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지