"네이버 로그인 차단" 메일에 황급히 눌렀는데…당하고 보니 'navor'

임종철 디자이너 /사진=임종철 디자이너

북한 해커조직이 네이버·카카오 등 국내 포털사이트를 사칭해 악성코드가 담긴 메일을 보내는 등 지능화된 모습을 보이고 있다. 이들은 해킹으로 이용자의 계정정보를 확보한 뒤 2~3차 공격대상자를 선정해 공격했다.

27일 국정원이 2020~2022년 3년 간 발생한 북한 해커조직의 사이버 공격 및 피해 통계에 따르면 이들은 악성코드가 담긴 메일을 '네이버', 'NAVER고객센터', 'Daum게임담당자' 등의 발송자명으로 유포했다.

북한 해커조직은 이처럼 발신자명을 위장했을 뿐 아니라 발신자 메일주소도 'naver'를 'navor'로, 'daum'을 'daurn'으로 표기해 이용자의 착각을 유도했다.

사진=국정원

이들이 보낸 악성코드 메일의 제목은 '새로운 환경에서 로그인되었습니다', '[중요] 회원님의 계정이 이용제한되었습니다', '해외 로그인 차단 기능이 실행되었습니다' 등이었다. 계정 보안 문제가 생긴 것처럼 꾸민 것이다.

국정원은 이 같은 북한 해커조직의 공격에 당하지 않기 위해선 보낸사람 앞에 붙어있는 관리자 아이콘을 반드시 확인해야 한다고 강조했다. 또 보낸사람 메일주소를 정확히 확인하고 메일 본문의 링크주소 등도 꼭 확인해야 한다고 당부했다.

이밖에도 북한 해커조직은 악성코드를 한컴 오피스 문서파일로 위장해 유포하고 있는 것으로 나타났다. 공공기관에서 한컴 오피스를 워드프로세서로 가장 많이 사용하고 있다는 점을 악용하는 것이다.

안랩 ASEC(보안대응센터)는 최근 이같은 정황을 확인하고 이용자의 주의를 당부했다. 해커조직이 유포하고 있는 악성코드 이름은 '누가, 무엇이 세계를 위협하는가(칼럼).exe'로 한컴 오피스 문서파일로 속이기 위해 아이콘을 비슷하게 제작한 것으로 파악됐다.

사진=안랩 ASEC

북한은 이처럼 한컴 오피스 문서를 이용한 악성코드 유포를 지속해오고 있다. 최근에는 한·미 정상회담의 워싱턴 선언과 비정기 세무조사 등 사용자들이 관심을 가질만한 주제로 파일명을 설정해 악성코드를 유포했다.

2018년 안랩이 북한이 배후로 추정되는 해커조직의 한컴 오피스 문서파일 공격 기법을 분석한 결과 이들은 주 문서 내에 악성코드를 다운로드하는 '다운로더'와 원격 조정을 할 수 있는 '백도어'를 심어 유포했다.

한컴 오피스의 취약점을 이용하던 북한 해커조직은 2016년 9월 이후부터는 메모리에서만 실행되는 악성코드로 공격기법을 바꿨다. 보안 솔루션들이 행위 기반 진단 기법을 적용해 문서 파일에서 악성코드 생성하는 행위를 진단하자 이를 우회하기 위한 것이다.

안랩 관계자는 "최신 업데이트 상태를 항상 유지하고 한글 문서를 열었을 때 내부에 포함된 링크, 이미지, 동영상 등은 주의할 필요가 있다"며 "한국 사용자를 노린 공격자 입장에서 한컴 오피스를 이용한 공격은 매력적일 수 밖에 없어 앞으로도 꾸준히 공격이 진행될 것으로 보인다"고 말했다.