북한 사이버 공격, 악성 이메일 공격 비중 가장 높아
상태바
북한 사이버 공격, 악성 이메일 공격 비중 가장 높아
  • 석주원 기자
  • 승인 2023.05.26 17:57
  • 댓글 0
이 기사를 공유합니다

국가정보원(국정원)이 북한 해킹 조직들의 사이버 공격과 관련한 통계 자료를 공개했다.

이번에 공개한 자료는 국정원이 국가·공공 기관 및 국제·국가 배후 해킹 조직에 대응하는 과정에서 집계한 우리나라를 대상으로 한 해킹 공격 자료 중, 최근 3년(2020~2022년)간 발생한 북한 해킹 조직으로부터의 사이버 공격 및 피해를 수집한 것이다.

국정원 자료에 따르면, 북한은 보안 프로그램의 약점을 뚫는 '취약점 악용(20%)'이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등도 활용했지만, 이메일을 악용한 해킹 공격이 전체의 74%를 차지한 것으로 나타났다.

국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹 공격을 한다는 것은 결국 북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다는 뜻이다. 기존 북한의 주요 해킹 타깃이었던 전현직 외교 안보 분야 관계자 외에도 대학교수, 교사, 학생 및 회사원 등이 해킹 피해를 보고 있다"고 말했다.

북한은 메일 수신자가 악성 메일을 별다른 의심 없이 열람하도록 유도하기 위해 발신자명과 메일 제목을 교묘하게 변형하고 있는 것으로 확인됐다.

북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 발신자명을 보는 점에 착안해 해킹 메일을 유포 시 네이버와 카카오(다음) 등 국내 포털 사이트를 많이 사칭(약 68%)하고 있었다.

실제 북한이 보낸 악성 메일들은 네이버, NAVER고객센터, Daum게임담당자 등 포털 사이트 관리자를 사칭한 경우가 많았으며 발신자 메일 주소도 naver를 'navor'로, daum을 'daurn'로 표기하는 등 오인을 유도하고 있었다.

일례로 최근 국정원이 국내 해킹 사고 조사 과정에서 확보한 북한 해커의 해킹 메일 공격 발송용 계정에는 1만여 건의 해킹 메일이 들어 있었다. 이 가운데 약 7천 개가 네이버, 다음 등의 국내 포털 사이트를 사칭한 메일이었으며, 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여 개도 발견됐다.

또한 북한은 메일 수신자들을 속이기 위해 '새로운 환경에서 로그인되었습니다.', '[중요] 회원님의 계정이 이용제한되었습니다.', '해외 로그인 차단 기능이 실행되었습니다.' 등 계정 보안 문제가 생긴 것같은 위장 제목을 사용했다.

국정원은 "북한은 해킹 메일로 확보한 계정 정보를 이용해 메일 계정 내 정보를 탈취하고 메일함 수발신 관계를 분석해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"고 밝혔다.

이어 국정원은 "메일 열람 시 보낸 사람 앞에 붙어있는 관리자 아이콘과 보낸 사람 메일 주소, 메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다"며 메일 무단 열람 방지를 위한 2단계 인증 설정 등 이메일 보안 강화를 당부했다.

 

*북한의 사이버 공격 유형(2020~2022년)

공격 유형

해킹 메일

취약점 악용

워터링 홀

공급망

기타

비중

74%

20%

3%

2%

1%

 

*해킹 메일 사칭 기관

기관

네이버

카카오(다음)

금융·기업·방송 언론

외교 안보

기타

비중

45%

23%

12%

6%

14%

 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.