클릭 하는 순간 PC '좀비화'… 북 해커들, 지메일로 정부기관 등에 악성 메일
-
- ▲ 열기만 해도 감염이 되는 해킹 메일. 코드가 깨져 다행히 감염되지는 않았다. 보안업체에서는 북한이 과거 사이버 공격을 했을 때 썼던 코드들이 보인다고 지적했다. ⓒ관련 메일 캡쳐.
통일부 출입 기자 등에게 북한 해커들이 보내는 것으로 추정되는 해킹 메일과 관련, 구글이 연관성이 있어 보이는 일부 지메일 계정을 폐쇄하는 등 대응 조치에 나선 것으로 10일 알려졌다.문제의 메일은 북한 관련 '업무'를 하는 통일부 출입기자단과 일부 매체의 북한 담당 기자들을 중심으로 뿌려지고 있다.북한 해커들이 보내는 것으로 추정되는 해킹 메일이 처음 발견된 것은 지난해 12월 31일 본 기자의 메일함에서였다. 이후 지난 7일 통일부 출입기자단에 보내져 문제가 됐다가 지난 9, 10일 이틀에 걸쳐 다시 뿌려졌다. 이번에 기자가 받은 이메일은 지난해 12월31일 받은 것과는 다른 형식으로, 2017년 탈북자 단체 대표들에게 보낸 것과 유사했다.이메일은 9일과 10일, 각각 한 통씩 날아왔다. 9일 오후 7시12분, 통일부 공보실 이메일 주소로 위장해 “북중관계 참고자료입니다”라는 제목으로 문제의 메일이 도착했다. 이어 10일 오전 10시18분에는 통일부 북한정보공개센터 이메일 주소를 흉내내 “북한 3박4일 방중 의미와 배경”이라는 제목으로 보내왔다.
첫 번째 메일은 본문이 깨져 있었다. 보안업체 ‘이스트시큐리티’에 분석을 요청한 결과 해킹 메일로 드러났다. 문종현 이스트시큐리티 이사는 해당 메일을 확인한 뒤 “역시 해킹 메일로 보인다”고 밝혔다. 문종현 이사는 “이들 메일은 2017년 6월 당시 탈북자단체와 북한인권단체 관계자들 앞으로 보냈던 해킹 메일과 비슷하다”면서 “지난번 해킹 메일과 달리 메일을 클릭하는 순간 감염된다”고 경고했다.
문 이사가 말한 지난번 해킹 메일이란 지난해 12월부터 지난 1월7일까지 북한 관련 기사를 쓰는 기자들이 받은 메일을 말한다. 기자가 지난 12월 31일 처음 받은 국방부 대변인실 사칭 메일, 지난 7일 통일부 출입기자들이 받은 “RE: TF 참고 자료” 메일이 대표적이다. 이들 메일은 첨부파일을 다운받아야 감염된다. 보안업체들에 따르면, 첨부파일을 열 때 “실명인증을 하라”고 하는데 이때 이메일 주소와 해당 암호가 해커에게 전달된다고 한다.반면 9일과 10일 도착한 해킹 메일은 첨부파일이 없는 형태로, 클릭하는 순간 ‘좀비 PC’가 되는 형태다. 문 이사 측에서 보내온 자료에 따르면, 해킹 메일을 확인하면 갑자기 로그아웃된 것처럼 만들어 재로그인을 유도한다. 이때 아이디와 암호를 입력하면 그 내용이 고스란히 해커가 지정한 서버로 들어가게 돼 있다.문 이사는 “2017년 당시 이와 유사한 형태의 해킹 메일이 발견됐을 때 ‘핵폭탄’급이라는 평가가 나오기도 했다”며 특별한 주의를 당부했다. 문 이사는 "이상한 이메일을 연 뒤 다른 사이트 등에서 로그인을 다시하라는 경고 메시지가 뜨면, 일단 브라우저 창을 닫고 다시 새 브라우저 창을 띄워 로그인을 해야 한다"고 강조했다.
북한 해커들로 의심되는 세력들은 정부기관이나 언론사를 사칭해 해킹 메일을 보낼 때 구글의 지메일을 자주 사용한다. 또한 탈취한 개인 정보는 구글 드라이브에 저장하는 경우가 많다. 북한 해커로 인한 문제가 커지자 결국 구글은 지메일을 비롯한 자사 서비스에 대한 조사에 착수했다.
‘자유아시아방송(RFA)’에 따르면, 구글은 북한 해커들과 관련해 “우리는 지메일 악용 사례를 발견하면 해당 계정을 포함해 문제가 되는 계정을 중단하는 등의 조치를 취하고 있다”면서 “국가로부터 지원받는 사이버 공격세력으로 의심되는 계정에 대해서는 경고를 한다”며 지메일 계정에 대한 공개조사 뜻을 밝혔다. 구글은 이어 지난 7일 통일부 출입기자단을 공격한 해킹 메일 관련 정보를 제공해준 한국 정부에 감사를 표했다.
