앵커: 최근 한국의 금융감독원 사칭 전자우편을 활용한 해킹 시도가 포착된 가운데 해당 공격은 북한의 소행으로 추정된다는 분석이 제기됐습니다. 서울에서 목용재 기자가 보도합니다.
한국의 금융감독원(금감원)은 지난 2일 금감원 직원을 사칭하는 전자우편에 대한 주의를 당부하는 경보를 내놨습니다.
금융감독원의 발표에 따르면 공격자는 가상자산감독국에 근무하는 실제 직원을 사칭해 블록체인이나 가상자산 관련 사업자 및 개인 투자자들에게 전자우편을 보냈습니다. 지난달 30일 전후로 보내진 이 전자우편은 금감원의 도메인 주소(@fss.or.kr)까지 위조된 형태였습니다.
해당 우편에는 ‘가상자산 관련 외부평가위원 위촉 안내’라는 제목의 위조된 금감원 공문 파일이 첨부돼 있었습니다. 해당 파일을 클릭하면 수신자 개인 컴퓨터의 정보와 인터넷 주소(IP), 저장돼 있는 문서와 파일 등의 정보가 외부로 유출됩니다.
공격자는 전자우편 수신자들에게 5월 16일까지 ‘동의 의사’를 밝힌 사람을 대상으로만 외부평가위원 위촉 절차를 진행할 수 있다며 수신자의 첨부파일 클릭을 유도했습니다.
금감원은 “첨부된 파일을 클릭하면 악성코드 감염, 해킹 등의 우려가 크고 첨부 양식에 따라 자료를 제출하면 개인정보가 유출될 수 있다”며 “(관련) 전자우편 열람 및 회신에 신중을 기해달라”고 당부했습니다.
북한의 사이버 위협을 수집하고 분석하는 익명의 보안전문가는 5일 자유아시아방송에 해당 공격이 북한의 소행일 가능성이 클 것으로 분석했습니다.
이 전문가는 “금감원 사칭 전자우편에서 발견된 악성코드는 북한이 활용하고 있는 형태와 동일하다”며 가상자산 탈취 등을 위한 목적으로 이번 공격이 이뤄졌을 것으로 추정했습니다.
이번 해킹 공격은 금감원의 도메인을 교묘하게 위조해 수신자들을 현혹했다는 점에서 지난 1월 22일 한국의 국가인권위원회를 사칭한 북한의 해킹 형태와 유사합니다.
앞서 한국의 보안업체인 지니언스는 국가인권위원회 직원을 사칭한 전자우편으로 해킹 공격을 시도했던 사건의 배후에 북한이 있다는 분석을 지난 4월 내놓은 바 있습니다.
지니언스는 당시 분석 보고서를 통해 “해킹 전자우편 예방 보안교육 때 발신지 주소를 꼼꼼히 살피도록 강조하는데, 이번처럼 정교하게 조작된 경우 단순히 전자우편 주소만 신뢰했다가 예기치 못한 위협에 노출될 수 있다”고 경고한 바 있습니다.
올해 들어 한국 당국·기관 등 사칭 공격 지속 포착
이런 가운데 올해 들어 한국의 정부 당국과 기관, 지방자치단체 등을 사칭한 북한의 사이버 공격이 빈번하게 포착되고 있습니다.
앞서 한국 외교부는 지난달 9일 외교부 사칭 전자우편이 발신되고 있다는 사실을 외신기자들에게 알리면서 외교부는 공식 도메인(@mofa.go.kr)과 공직자 통합 전자우편 도메인(@korea.kr)을 사용한다고 밝혔습니다. 그러면서 “‘지메일’(Gmail)과 같은 상용 전자우편은 업무 목적으로 사용하고 있지 않다”며 외교부 사칭 전자우편에 대한 주의를 당부했습니다.
한국의 방송매체인 MBN도 지난 3월 한국 국가안보실을 사칭한 전자우편이 외교, 안보분야 관계자들을 대상으로 발송됐다고 보도한 바 있습니다.
한국 경찰청도 지난 2월과 4월 각각 서울시 공무원과 한국 국군방첩사령부를 사칭한 북한발 공격을 확인했다고 밝힌 바 있고 자유아시아방송은 지난 3월 한국 경찰청 사이버범죄수사과 수사관을 사칭한 전자우편이 탈북민들에게 발신됐다고 보도한 바 있습니다.
서울에서 RFA 자유아시아방송 목용재입니다.
에디터 양성원