북한 해커 조직 김수키, 피싱 메일 유포
비밀번호 변경 유도…클릭시 공격자 서버
북한 해커 조직 '김수키(Kimsuky)'가 카카오가 운영하는 포털사이트 '다음(daum)'을 위장한 피싱 메일로 이용자들의 비밀번호 탈취를 시도한 것으로 알려졌다.
사이버 보안업체 이스트시큐리티는 최근 자사 블로그 내 '악성코드 분석 리포트' 내에 이 같은 내용을 게시했다.
이번에 발견된 피싱 메일은 '[긴급] 지금 바로 비밀번호를 변경해 주세요.'라는 제목으로 유포됐다. 공격자는 발신자 도메인을 'daurn.net'으로 사용해 다음(daum) 도메인인 것처럼 보이려 했다.
이메일 본문에는 "회원님의 비밀번호와 개인정보가 타인에게 도용되었을 수 있습니다"라는 문구가 빨간색으로 쓰여 있으며, 메일 중간 부분에 활성화된 '지금 비밀번호 변경하러 가기' 하이퍼링크를 클릭하면 카카오 로그인 페이지인 것처럼 만들어진 피싱 사이트에 접속된다. 그다음 '비밀번호 확인 및 변경'을 이유로 비밀번호 입력을 유도하는데, 만일 사용자가 이곳에 비밀번호 정보를 입력하면 정보는 고스란히 공격자 서버로 전송된다.
이스트시큐리티는 여러 지표를 분석한 결과, 이 공격 배후에 북한 정찰총국 산하 해킹 조직 김수키가 있는 것으로 결론냈다. 김수키는 2010년경부터 국방부, 통일부 등 정부 부처 및 유관기관을 해킹해 사회기반 시설, 탈북자 등의 관련 자료를 빼낸 북한의 해킹 조직으로, 최근에는 한국은 물론 아시아·태평양 지역 국가들에게까지 공격 범위를 넓히고 있다.
김수키는 지난해 최소 세 차례에 걸쳐 외교안보·통일·국방 전문가 892명에게 피싱 메일을 보냈으며, 지난해 10월에는 카카오 계정 관리 서비스로 위장해 탈북민 등의 아이디·비밀번호 탈취를 시도하기도 했다.
이스트시큐리티는 "기관, 기업뿐만 아니라 관련 분야의 민간 전문가들 및 민간단체를 대상으로 한 북한의 사이버 공격이 지속되고 있는 만큼 관련자들의 각별한 주의가 필요하다"고 당부했다.
김현정 기자 khj27@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
