北 조직, 카카오 위장해 대북 업무종사자 피싱 공격 (서울=연합뉴스) 보안기업 이스트시큐리티가 카카오 로그인 페이지로 위장해 대북 업무 관련 종사자들의 계정 정보 탈취를 시도하는 피싱 이메일이 발견됐다며 주의를 당부했다. 사진은 카카오를 사칭한 북한 해킹 공격 피싱메일. 2023.1.25 [이스트시큐리티 제공. 재판매 및 DB 금지] photo@yna.co.kr

(서울=연합뉴스) 오수진 기자 = 정부가 2일 독자 제재한 북한 해킹조직 김수키(Kimsuky)는 실존 인물이나 기관을 사칭해 정보를 캐내는 것은 물론 목표를 달성한 후에는 감사 인사 메일까지 보내 공격대상자를 끝까지 감쪽같이 속이는 수법을 쓰는 것으로 나타났다.

한국과 미국 정부가 함께 공개한 김수키 관련 보안권고문에는 공격 수법과 실제 피해 사례, 해킹 예방 조치 등이 상세히 담겨 있다.

◇ 인터뷰·자문 요청…"귀하 계정으로 국보법 위반 게시글 등록" 협박도

한미 정부와 민간 보안업체들은 피해자의 사회적 관계를 이용해 피해자를 속이고 비밀 정보를 획득하는 북한 해킹 조직을 김수키, 탈륨(Thallium), APT43, 벨벳천리마(VelvetChollima), 블랙 밴시(Black Banshee) 등으로 명명해 추적 중이다.

김수키는 북한 정찰총국 산하 해킹조직으로 2012년경부터 사이버 공격을 전개했다.

주로 기자나 학자, 싱크탱크 연구원, 사법기관, 포털사이트 관리자 등을 사칭해 범행한다.

일단 피해자에게 해킹을 의심할 수 없는 일반적인 내용의 이메일을 보내는 식으로 소통을 시작한다. 피해자와 유대 관계부터 형성하는 것이다.

김수키 해킹 사례 [한미 정부 합동 보안권고문 캡처]

한 이메일 교신 사례를 보면 김수키는 한 국내 싱크탱크 부원장인 것처럼 행세하며 정치·북한 분야 교수들에게 메일을 보냈다.

그러면서 자신이 소속된 싱크탱크에서 작성 중인 '북한의 외교정책과 한국의 대응' 주제문에 대한 코멘트를 받고자 한다고 했다.

답장이 오자 김수키는 다시 메일을 보내 "자료 파일을 별첨해 송부드린다"며 첨부 파일 클릭을 유도한다. 해킹을 의심하지 않게끔 "해킹이 심한 시대라 보안상 비밀번호를 추가했다"는 문구를 함께 적었다.

이를 통해 피해자 계정 정보를 절취하고 악성코드에 감염시킨 후에도 감사 인사 메일을 피해자에게 추가로 발송하기도 한다고 보안권고문은 소개했다.

김수키 해킹 사례 [한미 정부 합동 보안권고문 캡처]

미국에서는 김수키가 기자를 사칭해 싱크탱크 직원에게 발송한 메일이 발견됐다. 김수키는 싱크탱크 직원에게 러시아의 우크라이나 침공, 북미관계, 북중·북러 관계를 질문하고 답을 요청했다.

국내에선 피해자의 이메일 계정이 불법적인 사건에 연루됐다며 수사 기관이나 사법 기관을 사칭한 사례도 파악됐다.

김수키는 "귀하의 이메일 계정을 이용해 유튜브에 국가보안법 위반 게시물이 등록됐다"며 "위 게시자는 탈북민을 음해하는 게시물을 올리기도 했다"고 협박했다.

그러면서 "정확한 게시물 등록자를 찾아내는데 협조 바란다"며 컴퓨터 매체 접근 제어 주소(MAC 주소), 이더넷 하드웨어 주소(고유식별정보) 등을 24시간 이내로 회신해달라고 요구했다.

김수키 해킹 사례 [한미 정부 합동 보안권고문 캡처]

◇ 의심되면 메일 안 여는 게 최선…'두음법칙 미적용' 단어 보이면 주의

김수키가 발송하는 메일에는 피해자가 다른 사람들과 정상적으로 주고받은 내용이 들어가 있는 경우가 많다. 그래서 피해자는 공격 대상자가 되더라도 이를 인지하기가 쉽지 않다.

권고문은 일상적인 메일로 보이더라도 발신자의 도메인이 발신자가 소속된 공식 웹사이트에 나온 도메인과 일치하는지 확인할 필요가 있다고 조언했다. 가짜 도메인은 오픈소스 악성 프로그램 점검 사이트 등을 통해 확인할 수 있다.

사칭 이메일 계정의 철자가 공식 웹사이트에 나열된 정상적인 이메일 주소 철자와 미세하게 다른 경우도 많아 주의 깊게 볼 필요가 있다.

영어로 작성된 이메일은 종종 어색한 문장구조나 부정확한 문법이 발견되기도 한다.

북한에서만 사용되는 단어가 발견된 사례도 있다. 두음법칙을 쓰지 않는 북한 해커들의 특성이 그들도 모르게 메일에 드러나는 것이다.

권고문은 "해커들은 공격 대상이 첫 번째 메일에 응답하지 않아도 끈질기게 접근한다"며 "첫 번째 연락으로부터 2∼3일 이내에 후속 메일을 보낼 가능성이 크다"고 지적했다.

해킹 피해를 막는 가장 좋은 방법은 의심스러운 메일을 아예 열어보지 않거나 출처가 확인되지 않은 이메일 속 URL을 클릭하지 않는 것이다.

수상한 메일이 왔다면 해당 단체에 공식 문의하는 것이 좋다. 상대의 신분을 확인할 수 없다면 유선·화상 전화로 신분 확인을 하는 방법도 있다.

권고문은 북한 해커들이 가상 환경 밖에서는 소통하지 않는 것으로 알려져 있다며 김수키는 유선 또는 화상 연락을 피할 것이라고 조언했다.

kiki@yna.co.kr

▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>