보안 전문 기업 이스트시큐리티(대표 정상원)는 18일 통일부 남북관계 주요일지 2월호 내용처럼 위장한 北 연계 해킹 공격이 연이어 발견되고 있다며, 수신자들은 해당 내용이 공식적인 것인지 확인되기 전까지 첨부 파일을 열지 말 것을 당부했다.

해킹 메일은 실제 통일부 관련 화면 디자인을 모방했고, 본문 하단 부분에 ‘남북관계_주요일지(2022년 2월).hwp’ 파일을 첨부하여 마치 통일부에서 공식적으로 보낸 남북관계 주요일지로 착각할 수 있도록 교묘하게 만들어졌다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면 이미 지난 2020년부터 유사 사례가 자주 있었던 것으로 알려졌다. 주로 통일부나 통일연구원의 공식 북한 자료처럼 위장되어 수신자를 현혹하고 첨부파일을 열어본 관련 전문가들의 이메일 계정을 탈취하는 것으로 보고되었다.

해킹 공격은 이메일 수신자들이 의심하지 않도록 발신지 주소를 실제 통일부 <nkanalysis@unikorea.go.kr>, 통일연구원<mail-admin@kinu.or.kr> 국가안보전략연구원 <insspost@inss.re.kr> 등의 공식 주소처럼 정교하게 조작하는 수법이 동원되고 있다. 발신지만 보고 신뢰하고 첨부파일로 무심코 접근할 수 있어 해킹 공격에 노출될 위험성이 높다.

또한 이번에 발견된 공격은 이메일 본문에 첨부된 악성 HWP 문서 파일을 열어보도록 유도하는 전형적인 스피어 피싱(Spear Phishing) 공격처럼 보일 수 있지만, 실제로는 첨부파일이 아닌 악성 URL 주소 링크를 삽입한 포털 계정 정보 탈취 목적의 공격이다.

해킹 메일의 경우 첨부 파일을 클릭하면, 다른 첨부 파일처럼 문서가 바로 받아지는 일반적인 경로 대신 이메일 수신자의 포털 계정 암호 입력 요구 화면이 나타난다. 유효 암호가 입력되면 정상적인 HWP 문서를 보여주는 등 꼼꼼한 속임수를 쓰기 때문에 포털 계정 암호가 유출된 것을 알기 어렵다.

이후 유출된 암호를 기반으로 지속적으로 개인정보가 유출되고, 도용된 계정이 주변 지인에게 접근하는 등 알지 못하는 사이에 2차 가해자가 될 가능성도 있다.

이스트시큐리티의 ESRC 센터장 문종현 이사는 “국내 특정 기관이나 민간 분야 서비스처럼 사칭한 北 연계 사이버 위협이 갈수록 고조되고 있기 때문에 빈틈없는 사이버 안보 강화 노력이 필요한 시기이다”라며, “특히 북한의 전방위적인 사이버 공세를 대응하기 위해서는 민관합동 차원에서 보다 긴밀하고 유기적인 협력체제 구축이 필요하다”라고 당부했다.