/사진=임종철 디자인기자
18일 정보보호 업계에 따르면 전날 보안 전문기업 프루프포인트는 배후가 북한으로 의심되는 해킹조직 'TA427'이 'DMARC'를 우회, 개인 명의 메일계정으로 정책 전문가들에게 연락해 정보를 수집하고 있다고 밝혔다.
TA427은 금전강탈이나 시스템 공격 등 통상적인 사이버 공격이 아니라 편안한 대화가 담긴 메일로 접근해 정보교환을 시도한다는 게 프루프포인트의 설명이다. 이들은 주로 싱크탱크나 학계·언론계·독립연구기관 등 비영리단체 관계자로 위장한다. 프루프포인트는 TA427에 대해 "장기적 전략정보 수집을 목적으로 접근해서 각 기관의 다른 전문가들을 공격 타깃으로 노려 왔다"고 밝혔다.
DMARC는 발송인의 이메일 주소를 검증해 스팸·피싱메일을 방지하는 기술이다. 메일에 명시된 발송인의 메일주소가 실제 전산기록과 일치하는지 확인하고, 불일치할 경우 사칭으로 간주한다. 다만 이 같은 방식은 발송인이 기관 이메일이 아니라 포털 이메일을 사용할 경우 탐지율이 낮아지는 게 특징이다.
전문가들 사이에선 메일·SMS 등으로 정보를 요구하는 메시지를 수신한 경우 원래 연락채널이 아닌 전화 등으로 상대방의 진위를 확인하라는 권고가 나온다. 공격 기술이 발달하면서 외형만으로는 쉽게 공격 여부를 알아채기 어렵다는 이유에서다. 업계 한 개발자는 "해커가 메일 템플릿과 웹사이트 소스코드를 베껴 외형을 꾸미는 건 물론이고, 생성형 AI(인공지능)로 메일 본문을 작성하는 것도 모자라 사람이 직접 글을 손본 것으로 의심되는 사례도 있다"고 말했다.