[미디어펜=김소정 기자]북한이 포털사이트 네이버, 카카오(다음) 등을 사칭한 메일을 전송해 해킹을 시도하고 있다고 국가정보원이 25일 밝혔다. 국정원은 이날 보도자료를 내고 국민들의 피해방지 및 보안주의를 위해 북한 해킹 공격의 분석 결과를 공개했다.

국정원은 “최근 3년간 북한의 해킹공격 유형 중 이메일을 악용한 해킹 공격이 전체의 74%를 차지한다”면서 “보안프로그램의 약점을 뚫는 ‘취약점 악용’이 20%, 특정 사이트 접속 시 악성코드가 설치되는 ‘워텅링 홀’ 수법이 3%를 차지했다”고 밝혔다.

이어 “북한은 메일 수신자가 해당 메일을 별다른 의심없이 열람하도록 유도하기 위해 특히 발신자명과 메일 제목을 교묘하게 변형하고 있다”며 “실제로 북한은 메일 발송자명을 ‘네이버’ ‘NAVER고객센터’ ‘Daum게임담당자 등 포털사이트 관리자인 것처럼 위장했다”고 말했다.

국정원은 “북한은 메일 사용자들을 속이기 위해 ‘새로운 환경에서 로그인되었습니다’ ‘[중요] 회원님의 계정이 이용제한되었습니다’ ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있다”고 설명했다.

국정원이 공개한 실제 피해사례를 보면, 중학교 교사 이모씨는 포털사이트 관리자 명의로 발송된 이메일을 열람했다가 수년치 메일 송수신 내용은 물론 클라우드에 저장된 이력서와 개인 파일이 통째로 유출되는 피해를 입었다. 이씨가 수신한 메일은 북한 정찰총국이 보낸 해킹용 메일이었다.

또 회사원 김모씨는 ‘비밀번호가 유출되었습니다’라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계기관으로부터 ‘메일에 저장돼있던 업무자료 등이 모두 해커에게 절취됐다’는 통보를 받았다. 코로나19로 인해 재택근무를 하면서 개인메일로 전송했던 민감한 업무자료가 모두 북한으로 빠져나간 것이다.

 

국정원은 “북한은 해킹메일로 확보한 계정 정보를 이용해 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 말했다.

국정원은 “최근 국정원이 국내 해킹사고 조사 과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여건의 해킹메일이 들어있었다”며 “이 중 약 7000개가 네이버, 다음 등의 국내 포털사이트로 사칭한 메일이었다. 이뿐 아니라 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여개도 발견됐다”고 덧붙였다.

국정원은 “북한 해킹 조직이 우리국민들을 대상으로 무차별, 지속적으로 해킹공격을 진행하고 있어서 처음으로 북한 해킹공격 관련 통계를 공개했다”면서 “국민 대부분이 사용하는 상용 메일을 통해 해킹공격을 한다는 것은 결국 북한이 우리국민 전체를 대상으로 해킹공격을 하고 있다는 뜻”이라고 강조했다.

그러면서 보안 방법으로 “메일 열람 시 보낸사람 앞에 붙어 있는 관리자 아이콘, 보낸사람 메일주소, 메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다”고 말했다. 또 메일 무단열람 방지를 위한 ‘2단계 인증 설정’ 등 이메일 보안 강화도 필요하다고 당부했다. 

국정원은 “실효적인 해킹메일 차단 방안 마련을 위해 민간의 협력이 필수”라며 “네이버, 다음 등 국내 주요 포털사이트 운영사와 관련 정보공유를 강화해나가겠다”고 말했다.

한편, 구체적인 국정원의 ‘해킹메일 대응 요령’은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.