[더팩트ㅣ허주열 기자] 국가정보원이 25일 처음으로 북한의 해킹 공격 관련 통계를 공개했다. 북한 해킹 조직들이 우리나라 국민들을 대상으로 무차별·지속적 해킹 공격을 진행하고 있어 대국민 경각심을 제고하기 위한 조치다.
국정원이 이날 공개한 통계는 국가, 공공기관 및 국제·국가 배후 해킹 조직에 대응하는 과정에서 집계한 북한의 최근 3년(2020~2022년)간 대한민국 대상 해킹 공격 및 피해 자료로 △북한의 해킹 공격 유형 △사칭기관 △해킹 공격에 사용한 메일 제목 및 실제 사칭계정 등이 담겼다.
국정원 자료에 따르면 북한은 사이버 공격 유형은 '해킹 메일'이 74%로 가장 많았고, 보안프로그램의 약점을 뚫는 '취약점 악용'(20%), 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀'(3%) 수법 등이 뒤를 이었다.
해킹 메일 사칭기관은 △네이버 45% △카카오(다음) 23% △금융·기업·방송언론(12%) △외교안보(6%) 등이었다.
이에 대해 국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹 공격을 한다는 것은 결국 북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다는 뜻"이라며 "기존 북한의 주요 해킹 타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수·교사·학생 및 회사원 등도 해킹 피해를 보고 있다"고 설명했다.
특히 북한 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 '발신자명'과 '메일 제목'을 교묘하게 변형하고 있는 것으로 확인됐다. 실제 북한은 메일 발송자명을 '네이버', 'NAVER고객센터', 'Daum게임담당자' 등 '포털사이트 관리자'인 것처럼 위장했다. 발신자 메일주소도 'naver'를 'navor'로, 'daum'을 'daurn'로 표기하는 등 '오인'을 유도하고 있었다.
일례로 중학교 교사 A 씨는 '포털사이트 관리자' 명의로 발송된 메일을 무심코 열람했다가, 수년 치 메일 송수신 내용은 물론, 클라우드에 저장된 이력서 및 개인 파일들이 통째로 유출되는 피해를 입었다. 추후 이 메일은 북한 정찰총국이 보낸 해킹용 메일로 드러났다.
이와 관련 국정원은 "메일 수신자의 계정 정보를 탈취하기 위해 열람을 유도하는, 사회 심리 공학적 피싱"이라고 했다.
일례로 최근 국정원이 국내 해킹 사고 조사 과정에서 확보한 북한 해커의 해킹 메일 공격 발송용 계정에는 1만여 건의 해킹 메일이 들어있었다. 국정원은 이를 또 다른 공격을 위한 것으로 보고 있다.
이 가운데 약 7000개가 네이버·다음 등의 국내 포털사이트로 사칭한 메일이었다. 뿐만 아니라 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여 개도 발견됐다.
아울러 북한은 메일 사용자들을 속이기 위해 '새로운 환경에서 로그인되었습니다', '[중요] 회원님의 계정이 이용제한되었습니다', '해외 로그인 차단 기능이 실행되었습니다' 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹 메일을 발송하고 있었다.
이에 국정원 "북한은 해킹 메일로 확보한 계정 정보를 이용해 메일 계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"고 밝혔다.
국정원은 북한발 해킹 피해를 예방하기 위해 실제 북한의 해킹 메일 샘플과 이에 대한 대응 요령도 안내했다.
국정원은 "메일 열람시 보낸사람 앞에 붙어있는 '관리자 아이콘'(네이버·다음), 보낸사람 메일주소, 메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다"며 메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화를 당부했다.
보다 자세한 국정원의 '해킹 메일 대응요령'은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.
국정원 관계자는 "실효적인 해킹 메일 차단 방안 마련을 위해서는 민간 협력이 필수"라며 "네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다"고 밝혔다.
sense83@tf.co.kr