 |
(왼쪽부터) 통일부 사칭 이메일과 통일연구원 사칭 이메일. /사진제공=이스트시큐리티 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이스트시큐리티가 국내에서 북한 해킹조직인 '김수키(또는 탈륨)' 소행으로 추정되는 해킹 공격이 이어지고 있다며 주의를 당부했다.
25일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 통일부와 통일연구원을 사칭한 이메일 해킹 공격 사례가 국내에서 발견됐다. 이번 공격은 일반 이메일 공격처럼 첨부파일을 열어보도록 유도하는 방식이 아닌 악성 URL 링크를 메일 본문에 삽입한 것이 특징이다.
실제 이메일 본문에는 통일부나 통일연구원에서 공식 발행한 것처럼 교묘하게 도용된 화면을 활용했다. 본문의 링크를 클릭하면 문서 대신 이메일 계정 암호 입력창이 뜬다. 여기에 비밀번호를 입력하면 이메일 정보가 해커에게 전송된다. 해커는 이메일 계정정보 탈취는 물론, 이메일 주소록에 등록된 이들에게 해킹메일을 보내는 2차 피해도 가할 수 있게 된다.
ESRC는 "백신 등 보안 솔루션의 위협탐지 기능을 우회하기 위해 일부러 별도의 악성파일을 사용하지 않고 URL 링크를 삽입한 것으로 보인다"며 " 이용자가 자신의 정보가 유출된 사실을 알지 못하도록 정상적인 문서가 보이도록 눈속임을 했다"고 분석했다.
ESRC는 이메일 전송지를 역추적한 결과, 지난 18일 국가안보전략연구원을 사칭한 공격과 지난 21일 한국인터넷진흥원(KISA) 사칭 공격 당시 사용한 거점이라는 점을 확인했다. ESRC는 분석결과를 바탕으로 북한 해킹조직 김수키를 이번 공격의 배후로 지목했다.
ESRC는 "이메일 내 문서가 공식 홈페이지에도 실제 있는 문서인지 꼼꼼히 살펴보는 등 세심한 주의가 필요하다"며 "이번에 발견된 통일부 등의 문서화면을 본 적이 있다면, 사용 중인 이메일 암호를 빨리 변경하고 2차 보안인증을 설정해야 한다"고 당부했다.
차현아 기자 chacha@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
