북한의 해킹조직 ‘김수키(Kimsuky)’가 인터넷 회사 카카오를 위장해 사이버 공격을 감행하는 정황이 포착됐다고 자유아시아방송(RFA)이 보도했다.
국내 사이버 보안업체인 이스트시큐리티(EST security)는 13일 홈페이지에 북한이 한국의 대형 모바일 및 인터넷 기업 카카오(Kakao)를 위장해 사용자들의 비밀번호를 탈취하려는 피싱(phishing)을 시도하고 있다고 밝혔다.
피싱은 이메일이나 메신저를 사용해 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장해 비밀번호 또는 신용카드 정보와 같이 기밀을 요하는 개인 정보를 부정하게 획득하는 사이버 공격 수법이다.
이스트시큐리티에 따르면 이번에 발견된 피싱 메일은 ‘[긴급] 지금 바로 비밀번호를 변경해 주세요.’라는 제목으로 유포됐다. 카카오 기업 소유의 다음 이메일 서비스와 유사한 계정으로 위장하고 있다.
특히 피싱에 사용된 이메일 발신자 주소는 daum과 언뜻 보기에 유사한 daurn이다. 이는 다음의 공식 이메일인 것처럼 보이게 해 사용들에게 혼란을 야기하려는 의도로 보인다.
이스트시큐리티는 여러 지표들을 분석한 결과 이번 공격의 배후가 북한 정찰총국의 지원을 받는 해킹조직 김수키인 것으로 결론지었다고 밝혔다.
피싱 이메일 본문에는 수신자의 계정 정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 링크가 포함돼 있다.
이스트시큐리티는 해당 이메일에는 자동으로 사용자의 정보를 공격자에게 전달하는 코드가 포함돼 있어, 별도로 그와 관련된 기능을 차단하도록 설정해놓지 않은 이상 이메일 열람과 동시에 사용자 정보가 유출된다고 설명했다.
또한 이메일 본문 내 비밀번호 변경을 위한 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 페이지로 넘어가는데, 만일 사용자가 피싱 페이지에 기존 비밀번호를 입력하면 그 정보는 그대로 공격자의 서버로 전송된다고 밝혔다.
북한 해커들은 이렇게 훔친 비밀번호 정보를 이용해 피해자의 메일 서비스에 접속해 피해자가 보낸 것처럼 위장한 메일을 보내 새로운 정보를 탈취하는 2차 공격에 사용될 수 있다고 했다.
이스트시큐리티는 이번 피싱 공격의 피해 여부에 대해 공개하지 않았다. 그러나 북한이 최근 기관, 기업뿐 아니라 관련 분야의 민간 전문가들과 단체들을 대상으로 사이버 공격을 지속하고 있다며 각별한 주의를 당부했다.
북한은 지난 10월에도 카카오 계정 관리 서비스로 위장해 북한 관련 업계 종사자 및 탈북민들의 아이디와 비밀번호 탈취를 시도한 적이 있다.