경찰청, 일반 사용자들 감쪽같이 속이는 北 해커들의 다각화된 피싱 공격 유형 확인
북한발 악성 피싱 메일 공격에 당하지 않으려면...공격 수법 인지 및 예방책 숙지해야
[보안뉴스 이소미 기자] 북한 해킹 조직의 가상자산 탈취를 노리는 공격은 전 세계적으로 확산돼 왔다. 지난 한해 이들이 탈취한 가상화폐 규모만 전년도 3배 수준으로 17억 달러(2조3천억 원)에 이른 것으로 나타났다. 북한의 가상자산 해킹 기술은 2017년부터 고도화돼 최근에는 탈중앙화금융 디파이(DeFi), 메타마스크 등을 겨냥하고 있다는 분석을 국가정보원(이하 국정원)이 내놓기도 했다.
▲북한발 악성이메일 유포 사건 개요도[이미지=경찰청]
최근에도 경찰청 국가수사본부(이하 수사국)가 북한 해킹 조직 행적을 대상으로 지속적인 추적·수사를 펼친 결과, 북한 해킹 조직이 ‘악성 피싱 메일’을 통해 피해자들의 가상자산 거래소 계정에 부정 접속해 절취를 시도한 행위와 그들이 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’이 몰래 실행된 사실이 밝혀졌다. 현재까지 금전적인 피해는 발견되지 않았으나 기존에 주요 타깃이었던 국방·외교·안보 분야 등 전·현직 공무원이 아닌 일반인들을 대상으로 확대되고 있어 주의가 요구되고 있다.
특히, 이번에 수사국이 확인한 전자우편 계정 탈취 피해자는 총 1,468명으로 특정 분야 전·현직 공무원 등의 전문가 그룹은 57명, 일반인은 1,411명으로 밝혀져 공격 대상이 확대된 사실이 입증됐다. 이에 <보안뉴스>는 수사국이 발표한 ‘북한 해킹 조직이 피싱 메일에 악용한 사례’와 함께 추가 피해 확산 방지를 위한 예방법을 소개한다.
▲특정 직군(기자·경찰청) 사칭 이메일 내용[이미지=경찰청]
정부기관·기자·연구소 등을 사칭한 인터뷰 요청 및 경찰청 사이버안전국 사칭까지
북한 해킹 조직은 정부기관·기자·연구소 등을 사칭해 ‘안내문’이나 ‘질의서’ 등 일반 사용자가 관심을 가질 만한 내용으로 위장한 피싱 이메일을 발송하고 있다. 특정 분야 전문가들을 대상으로 방송 매체 기자를 사칭해 인터뷰를 요청하는 등의 내용을 담고 있다. 이외에도 경찰청 사이버안전국을 사칭해 마치 사용자가 불법 스팸 메일을 발송해 법적 책임을 물을 수 있다는 내용과 함께 ‘정보통신망이용촉진 및 정보보호.zip’ 이라는 악성 프로그램 파일을 첨부해 클릭 및 다운로드를 유도한다.
이를 사용자가 인지하지 못하고 이메일에 첨부된 파일을 실행하면 개인 PC의 내부 정보를 유출하는 악성 프로그램이 자동으로 설치·실행된다. 북한 해커들은 이를 통해 정보를 탈취해가는 것이다.
▲국민건강보험·국민연금공단·국세청 사칭 고지서·전자문서 피싱 링크 유도 페이지[이미지=경찰청]
국민건강보험·국민연금공단·국세청 사칭 고지서와 전자문서 피싱 사이트
일반적으로 신뢰할 수 있는 공공기관 등을 사칭해 ‘인증 기한이 지나면 해당 전자문서를 확인할 수 없다’는 문구와 함께 피싱 사이트 링크 접속을 유도한다. 실제 국내 유명 포털 사이트와 연동된 고지서 등의 전자문서 조회 연결 루트를 모방해 일반 사용자들은 감쪽같이 속을 수 있다.
이를 인지하지 못해 피싱 사이트 링크를 클릭하게 되면 ‘가짜 포털 사이트 로그인 페이지’로 이동하게 되고 사용자가 입력한 계정 정보는 그대로 해커에게 넘어가 해당 계정 아이디·비밀번호가 탈취된다. 이는 가상자산 거래소 해킹 외에도 또 다른 사이버 공격의 2차·3차 피해로까지 번질 수 있다.
피싱 메일에 대처하는 우리의 자세
전자우편 및 가상자산 거래소 계정의 비밀번호를 주기적으로 변경하고, 추가적인 보안 설정 단계를 거쳐 안전한 가상자산 관리가 될 수 있도록 해야 한다. 먼저, 로그인 이후 사용자가 미리 설정한 전화번호 또는 이메일을 통해 추가 인증을 거치는 △2단계 인증 △일회용 패스워드(OTP) 설정 △해외 인터넷 주소(IP) 접속 차단 설정 등을 통해 보안을 강화할 수 있다.
▲정상 사이트와 외관만 동일한 ‘피싱 포털사이트 로그인 화면’과 정상 사이트 URL 주소[이미지=경찰청]
또한, 전형적인 피싱 사이트 링크는 정상사이트와 외관이 동일해 육안으로 판별이 어렵다. 그러므로 사용자는 해당 사이트에 접속하기 전 반드시 공식 홈페이지와 동일한 주소가 맞는지 URL 주소를 세밀하게 확인해야 한다.
한편, 경찰은 한국인터넷진흥원(이하 KISA)과 협력해 북한 해킹 조직이 운영하는 피싱 사이트를 차단하고 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등의 정보를 제공해 정보보호 정책 수립에 활용하는 등 적극적인 노력을 기울이고 있다고 설명했다. 이외에도 외교부 등 관계기관, 미국 정부, 유엔 등과 정보를 공유하고 협력 대응하는 등 총력을 다하고 있다고 덧붙였다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>