이날 국정원이 공개한 자료에 따르면 3년간 북한의 사이버 공격 유형은 이메일을 악용한 해킹 공격이 전체의 74%로 압도적으로 많았다. 보안프로그램의 약점을 뚫는 ‘취약점 악용’(20%)이나 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법 등도 활용했다.
국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은 북한이 전·현직 외교분야 관계자를 포함한 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻이라는 게 국정원 설명이다.
북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형했다.
사칭 기관 비중은 네이버·카카오(다음) 등 국내 포털사이트가 약 68%에 달했다. 예컨대 북한은 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 포털사이트 관리자인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인을 유도했다.
최근 국정원이 국내 해킹사고 조사과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만 여건의 해킹메일이 들어 있었다.
아울러 북한은 메일 사용자들을 속이기 위해 ‘새로운 환경에서 로그인되었습니다’, ‘[중요] 회원님의 계정이 이용제한되었습니다’, ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송했다.
국정원은 메일 열람 시 보낸사람 앞에 붙어 있는 ‘관리자 아이콘’과 보낸사람 메일주소, 메일 본문의 링크주소 등 3가지를 반드시 확인할 것을 당부했다. 아울러 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화도 권고했다.