​北, 잇단 통일부 사칭 해킹 시도...신종 수법으로 사용자 현혹

통일부 사칭해 공식 문서로 위장한 악성 이메일 발송

계정 유출 후 실제 문서 보여줘...피해 사실 인지 어려워

[사진=게티이미지뱅크]

이스트시큐리티가 통일부 자료로 위장한 해킹이 연이어 발견되고 있다며 주의가 필요하다고 18일 밝혔다.

이번 공격은 마치 통일부에서 공식적으로 보낸 남북관계 주요일지처럼 교묘하게 위장해 대북분야전문가나 종사자를 겨냥했으며, 이메일 계정 탈취가 목적으로 드러났다. 실제 통일부 관련 화면 디자인을 일부 모방해 정상적인 내용처럼 꾸몄고, 이메일 본문 하단 부분에 '남북관계_주요일지(2022년 2월).hwp'이라는 이름의 파일을 첨부했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면 이러한 수법은 이미 지난 2020년부터 작년까지 유사 사례가 다수 포착된 바 있으며, 주로 통일부의 북한 동향이나 통일연구원의 한반도 정세 전망 등 북한 자료와 관련된 내용으로 수신자를 현혹하는 유형이 꾸준히 보고되고 있다.

특히 이메일 수신자가 의심하지 않도록 발신 주소를 실제 통일부, 통일연구원, 국가안보전략연구원 등의 공식 주소처럼 정교하게 조작하는 수법을 동원해 사용자를 속이고 있다.

ESRC에 따르면 악성 HWP 문서를 첨부하는 전형적인 피싱으로 보일 수 있지만, 실제로는 첨부파일이 아닌 악성 URL 주소 링크를 통해 포털 사이트 계정 정보를 탈취하는 것이 목표다. 해당 첨부 파일 링크를 클릭하면, 문서를 내려받는 대신, 가짜 포털 사이트 화면이 나타난다. 여기에 사용자가 자신의 계정을 입력하면, 비밀번호가 유효할 경우에만 정상적인 문서를 보여줘 해킹 피해 사실을 인지하기 어렵게 했다.

비밀번호가 유출되면 은밀하고 지속적인 개인정보 유출 가능성은 물론, 공격자가 피해자의 계정을 무단 도용해 주변 지인에게 접근하는 등 2차 피해도 우려된다.

문종현 ESRC 센터장은 "국내 특정 기관이나 민간 분야 서비스처럼 사칭한 북한 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력이 필요한 시기"라며 "특히 북한의 전방위적인 사이버 공세를 대응하기 위해서는 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다"고 당부했다.