메일로 인사한 학계동료, 알고보니 해커…사이버공격 여전

/사진=임종철 디자인기자

이메일로 사람을 속여 정보를 탈취하는 사이버 공격이 수그러들지 않고 있다.

18일 정보보호 업계에 따르면 전날 보안 전문기업 프루프포인트는 배후가 북한으로 의심되는 해킹조직 'TA427'이 'DMARC'를 우회, 개인 명의 메일계정으로 정책 전문가들에게 연락해 정보를 수집하고 있다고 밝혔다.

TA427은 금전강탈이나 시스템 공격 등 통상적인 사이버 공격이 아니라 편안한 대화가 담긴 메일로 접근해 정보교환을 시도한다는 게 프루프포인트의 설명이다. 이들은 주로 싱크탱크나 학계·언론계·독립연구기관 등 비영리단체 관계자로 위장한다. 프루프포인트는 TA427에 대해 "장기적 전략정보 수집을 목적으로 접근해서 각 기관의 다른 전문가들을 공격 타깃으로 노려 왔다"고 밝혔다.

그렉 레스뉴이치(Greg Lesnewich) 프루프포인트 수석연구원은 "TA427은 일명 김수키(Kimsuky)로 알려진 지능형 지속 공격(APT) 조직 3곳 중 하나로, 외교정책 전문가 유인을 시도하고 있다"고 말했다. 이어 "간간이 오탈자 오류를 범하기도 하지만, APT 조직이 벌이는 피싱 공격 중에서는 보기 드물게 사회공학 기법을 사용해 왔다"며 "이메일 보안정책이 약하거나 보안정책을 잘 지키지 않는 개인계정을 이용하니 각별한 주의가 필요하다"고 했다.

DMARC는 발송인의 이메일 주소를 검증해 스팸·피싱메일을 방지하는 기술이다. 메일에 명시된 발송인의 메일주소가 실제 전산기록과 일치하는지 확인하고, 불일치할 경우 사칭으로 간주한다. 다만 이 같은 방식은 발송인이 기관 이메일이 아니라 포털 이메일을 사용할 경우 탐지율이 낮아지는 게 특징이다.

이메일은 피싱에도 지속적으로 악용되는 추세다. 국가정보원은 지난 16일 "최근 국정원장을 사칭한 '사이버범죄 수사보고서'가 이메일로 유포된 정황이 확인됐다"며 "국가정보원(한국) 명의로 발송된 '경찰보고서' 제목의 메일을 열람하지 말라"는 긴급공지를 게시했고, 직장인 SNS(사회관계망서비스) 리멤버는 지난 12일 '탈퇴요청이 접수됐다'는 피싱메일이 발견됐다며 주의를 당부했다.

전문가들 사이에선 메일·SMS 등으로 정보를 요구하는 메시지를 수신한 경우 원래 연락채널이 아닌 전화 등으로 상대방의 진위를 확인하라는 권고가 나온다. 공격 기술이 발달하면서 외형만으로는 쉽게 공격 여부를 알아채기 어렵다는 이유에서다. 업계 한 개발자는 "해커가 메일 템플릿과 웹사이트 소스코드를 베껴 외형을 꾸미는 건 물론이고, 생성형 AI(인공지능)로 메일 본문을 작성하는 것도 모자라 사람이 직접 글을 손본 것으로 의심되는 사례도 있다"고 말했다.