"새 환경에서 로그인".. '네이버·카카오' 사칭한 北해킹 메일

김국배 기자I 2023.05.25 14:49:48

국정원 북한 해킹 공격 관련 통계 첫 공개
'NAVER 고객센터' 'Daum 게임담당자' 등 포털 관리자 위장

네이버 관리자 사칭


[이데일리 김국배 기자] 북한 해킹 조직이 우리나라 국민을 겨냥해 보내는 해킹용 메일의 70% 가까이는 네이버, 카카오(다음) 등 국내 인터넷 포털 기업을 사칭하는 것으로 나타났다.

25일 국가정보원이 공개한 북한 해킹 공격 관련 3년치 통계를 보면, 북한 해킹 조직이 해킹 메일을 유포할 때 네이버, 카카오를 사칭하는 경우가 68%에 달했다. 사용자들이 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안한 것이다.

카카오 관리자 사칭
(자료=국정원)


국정원은 “최근 국내 해킹 사고 조사 과정에서 확보한 북한 해커의 해킹 메일 발송용 계정에 1만여 건의 해킹 메일이 들어있었는데, 이 가운데 7000개가 네이버·다음 등 국내 포털 사이트를 사칭한 메일이었다”고 했다.

실제로 북한 해킹 조직은 ‘네이버’ ‘NAVER 고객센터’ ‘Daum 게임담당자’ 등 발송자명을 포털 사이트 관리자인 것처럼 위장했다. 발신자 메일 주소도 교묘히 바꿔 오인하게 유도했다. ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 식이다. 새로운 환경에서 로그인되었습니다’, ‘[중요] 회원님의 계정이 이용제한되었습니다’, ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹 메일도 보냈다.

북한 해킹 조직이 가장 빈번하게 사용하는 해킹 유형은 ‘이메일(74%)’이었지만 보안 프로그램 취약점을 악용(20%)하거나, 특정 사이트 접속시 악성코드가 설치되는 워터링홀(3%) 수법도 쓰였다. 국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통해 해킹 공격을 한다는 것은 북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다는 뜻”이라며 “북한은 해킹 메일로 확보한 계정정보를 이용해 메일 계정 내 정보를 탈취하고 수·발신 관계를 분석해 2~3차 공격 대상자를 선정한다”고 했다.

국정원은 북한발 해킹 피해를 예방하기 위해선 메일 열람 시 △보낸 사람 앞에 붙어 있는 ‘관리자 아이콘’ △보낸 사람 메일 주소 △메일 본문의 링크 주소 등 세 가지를 반드시 확인하고, 메일 무단 열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안을 강화할 것을 당부했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지