"北, 네이버·다음 메일로… 대한민국 국민 통째 해킹" 국정원 통계 첫 공개

#. 중학교 교사 이모 씨는 '포털사이트 관리자' 명의로 발송된 메일을 무심코 열람했다가 수년 치 메일 송수신 내용은 물론 클라우드에 저장된 이력서 및 개인 파일들이 통째로 유출되는 피해를 입었다. 이모 씨가 수신한 메일은 북한 정찰총국이 보낸 해킹용 메일이었다.

#. 회사원 김모 씨는 '비밀번호가 유출됐습니다'라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계기관으로부터 "메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다"는 통보를 받았다. 코로나19 상황에서 재택근무를 위해 개인 메일 계정으로 전송했던 민감 업무자료가 모두 북한으로 빠져나간 것이었다.

국가정보원이 "북한 해킹 조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹 공격을 진행하고 있다"며 처음으로 북한 해킹 공격 관련 통계를 공개했다. 해킹 수법 중에서는 이메일을 악용한 해킹 공격(74%)이 압도적으로 많았다. 

국정원은 국가·공공기관 및 국제·국가 배후 해킹 조직에 대응하는 과정에서 집계한 대한민국 대상 해킹 공격자료 중 최근 3년(2020~22)간 발생한 북한 해킹 조직의 사이버 공격 및 피해 통계를 25일 공개했다. 

국정원 자료에 따르면, 북한은 보안프로그램의 약점을 뚫는 '취약점 악용'(20%)이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀'(3%) 수법 등도 활용했지만, 이메일을 악용한 해킹 공격(74%)이 압도적으로 많았다. 

이와 관련해 국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹 공격을 한다는 것은 결국 북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다는 뜻"이라며 "기존 북한의 주요 타깃이었던 전·현직 외교안보분야 관계자 이외에 대학교수·교사·학생 및 회사원 등도 피해를 보고 있다"고 말했다.

국정원은 "메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 발신자명과 제목을 교묘하게 변형하고 있다"며 "북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 발신자명을 보는 점에 착안해 해킹메일 유포 시 네이버·카카오(다음) 등 국내 포털사이트를 많이 사칭(약 68%)하고 있었다"고 밝혔다.

북한은 메일 발송자명을 '네이버' 'NAVER 고객센터' Daum 게임 담당자' 등 포털사이트 관리자인 것처럼 위장했고, 발신자 메일 주소도 'naver'를 'navor'로, 'daum'을 'daurn'으로 표기하는 등 오인(誤認)을 유도하고 있다는 것이다.

국정원은 "메일 수신자의 계정정보를 탈취하기 위해 열람을 유도하는, 사회심리공학적 피싱"이라며 "최근 국정원이 국내 해킹 사고 조사 과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여 건의 해킹메일이 들어 있었다. 또 다른 공격을 위한 것으로 생각되는데, 이 가운데 약 7000개가 네이버·다음 등 국내 포털사이트로 사칭한 메일이었다. 뿐만 아니라 해킹메일이 발송될 국내 가입자 이메일 주소 4100여 개도 발견됐다"고 밝혔다.

아울러 국정원은 북한이 메일 사용자들을 속이기 위해 '새로운 환경에서 로그인됐습니다' '[중요] 회원님의 계정이 이용 제한됐습니다' '해외 로그인 차단 기능이 실행됐습니다’ 등 계정 보안문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있었다"고 지적했다.

국정원은 "북한은 해킹메일로 확보한 계정정보를 이용해 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"며 "메일 열람 시 보낸사람 앞에 붙어 있는 '관리자 아이콘', 보낸사람 메일 주소, 메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다"며 메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화를 당부했다. 

국정원 관계자는 "실효적인 해킹메일 차단 방안 마련을 위해서는 민간의 협력이 필수"라며 "네이버·다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다"고 밝혔다. 더욱 구체적인 국정원의 '해킹메일 대응 요령'은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.

사이버보안 전문가인 문종현 지니언스(주) 이사는 "북한 해커들은 내가 쓰고 있는 (회사나) 기관의 공식 이메일이 아니라 네이버·구글(지메일)·다음 등 개인적으로 쓰는 이메일로 공격에 들어간다. 그러다 보니 모니터링을 하는 데도 한계가 있을 수밖에 없다"고 지적했다. 

문 이사는 지난 24일 국정원 퇴직자 모임인 '양지회' 부설 '국가안보통일연구원'(이하 안통연)과 '21세기전략연구원'이 개최한 '2024 국정원 대공수사권 박탈 전망과 대응전략' 토론회에서 "업무상 (이메일로) 파일을 주고받게 되면 사전에 대상자들과 전화 통화 등을 통해 사실 여부를 확인 후 열람하는 보안 습관이 중요하다"고 강조했다. 

이어 문 이사는 "흥미롭게도 공격자가 특정 인물의 이메일 계정을 탈취 선점해 도용하고 있는 경우 기존 정상적인 발신 이메일의 '발송 취소' 기능을 악용해 악성 문서로 교체한 사례가 보고된 바 있기도 하다. 이런 경우 전화 통화로 상호 간 정상 유무를 교감하더라도 신뢰 기반의 공격이 가능한 상태이기도 하다"고 설명했다.

"위협행위자들이 특정 시기나 사회적 관심사, 이슈 등의 공격에 적절히 사용하고 있다. 보통 사회공학적 기법이라고 말하는데, 주제가 다양하고 실제 사용 중인 서식이나 문구를 그대로 복사해 사용한다"고 지적한 문 이사는 "공격에 사용되는 다수의 이메일 문구를 살펴보면 실제 진행 예정인 행사나 세미나, 일정 등을 정확하게 사용 중인 점을 알 수 있다. 종종 단순하고 조잡한 형태를 담고 있기도 하지만, 정교하게 만들어진 이메일들도 많아 사실 여부를 파악하기가 쉽지 않다"고 덧붙였다.

그러면서 지난 2월2일 '한국건강관리협회'의 검진결과서 발급 위장공격 사례를 언급한 문 이사는 "(검진결과서 확인 바로가기 버튼을 누르면 가짜 피싱사이트 화면으로 연결되는데) 위협 행위자는 실제 네이버 로그인 기능과 연동해 정확한 비밀번호가 입력될 때 로그인되도록 설계해 뒀으며, 로그인이 성공되면 비밀번호가 해커에게 동시에 유출되는 피해가 이어지게 된다. 따라서 로그인된 상태에서 다시 로그인하라는 화면을 보면 절대로 다시 비밀번호를 입력해서는 안 된다"고 경고했다.

문 이사는 또한 "이메일로 받은 문서에 암호가 설정된 경우에는 각별한 주의가 필요하다"며 "위협행위자들은 보안 탐지 우회 목적을 위해 악성 DOC 문서를 전달할 때 비밀번호를 설정해 사용하는 경우가 많은 편"이라고  덧붙였다.

문 이사는 "북한 사이버 공작원은 외교·안보·국방·통일분야 고위공무원이나 정치 관계자들의 사생활을 엿보거나 훔치는 활동을 지속 시도 중이다. 이렇게 수집된 개인별 약점은 수년 후에 또 다른 협박이나 포섭 수단으로 쓰일 수 있다는 점을 명심해야 한다. 비슷한 예로 당시 현역 군 장교가 도박빚 때문에 북한 해커에게 포섭됐던 사례와 교훈은 절대 잊어서는 안 될 것"이라고 당부했다.