앵커 : 한국인 대상 사이버 공격을 위해 주로 한국이나 일본 이메일, 즉 전자우편 계정을 사용하던 북한 해커 조직이 러시아 이메일 계정으로 해킹을 시도하는 사례가 늘고 있는 것으로 나타났습니다. 김소영 기자가 보도합니다.
한국의 사이버 보안업체 지니언스는 3일 발표한 북한 해커 조직, 김수키의 이메일 피싱 공격 분석 보고서에서 지난 9월 이후 러시아 이메일 계정으로 한 발신자의 피싱 공격이 늘었다고 밝혔습니다.
보고서에 따르면 김수키는 지난 4월 한국 정부기관이나 한국의 대표적인 검색 사이트 네이버를 위장해 보낸 발신자로 일본의 유명 인터넷 서비스 제공자인 ‘빅로브(Biglobe)’나 한국에서 제공하는 '국민비서’ 사이트를 이용한 이메일 계정을 사용했습니다.
그러나 9월 중순부터 ' mmbox.ru'와 같은 러시아 도메인이 발신자로 관찰되기 시작했고, 10월에 들어서는 ' ncloud.ru'와 같은 또 다른 러시아 도메인이 식별됐습니다.
이들은 주로 한국 국세청 등 금융기관을 사칭해 세금 납부기한 고지나 금융결제 안내 등의 내용을 담고 있으며, 이메일 내용에 포함된 링크를 누르면 수신자의 컴퓨터에 악성코드가 깔리게 됩니다.
보고서는 이들 러시아 이메일 도메인들이 피싱 이메일 발송기(Phishing mail sender)를 통해 조작된 것이라고 전했습니다.
피싱 이메일 발송기를 이용하면 해커가 한국이나 미국 이메일 계정을 러시아의 이메일 서비스, 메일.ru( mail.ru)로 위장해 발신할 수 있습니다.
보고서는 발신자의 이메일 도메인이 러시아(ru)로 표시되기 때문에 신뢰성이 떨어짐에도 불구하고 북한 해커들이 여러 해킹 공격 전략 중 하나로 이용하고 있다고 지적했습니다.
지니언스 측은 피싱을 예방하고 피해를 막기 위해서는 발신자에 대한 공식 이메일 주소 여부를 꼼꼼히 살펴볼 것을 당부했습니다.
그러나 이메일 주소를 공식 주소처럼 만들어 발송하는 것도 기술적으로 가능하기 때문에 여러 차례 사실 여부 검증이 요구된다고 덧붙였습니다.
<관련기사>
[ 다크웹 ‘유출’ 북 IT 기술자 PC 바탕화면 보니…Opens in new window ]
[ 북, 미 기업 웹사이트 불법 복제해 정보 수집Opens in new window ]
RFA 자유아시아방송 김소영 입니다
에디터 조진우, 웹팀 이경하