【STV 임정이 기자】북한 해커 조직 ‘김수키(Kimsuky)’가 'daurn.net'으로 사용해 다음(daum) 도메인인 것처럼 보이게 한 후, '[긴급] 지금 바로 비밀번호를 변경해 주세요.'라는 제목으로 유포해 이용자들의 비밀번호 탈취를 시도한 것으로 알려져 논란이 되고 있다.
사이버 보안업체 이스트시큐리티는 최근 자사 블로그 내 '악성코드 분석 리포트' 내에 이 같은 내용을 게시했다.
이메일 본문에는 "회원님의 비밀번호와 개인정보가 타인에게 도용되었을 수 있습니다"라는 문구가 빨간색으로 쓰여 있고, 메일 중간 부분에 활성화된 하이퍼링크를 클릭하면 '지금 비밀번호 변경하러 가기' 카카오 로그인 페이지인 것처럼 만들어진 피싱 사이트에 접속되게끔 유도하는 식이다. 그다음 '비밀번호 확인 및 변경'을 이유로 비밀번호 입력을 하게끔 만든 뒤, 사용자가 이곳에 비밀번호 정보를 입력하면 정보는 고스란히 공격자 서버로 전송되는 식의 해킹 방식이다.
이스트시큐리티는 여러 지표를 분석한 결과, 이 해킹 공격 배후에는 북한 정찰총국 산하 해킹 조직 김수키가 있는 것으로 밝혀졌다. 김수키는 2010년경부터 국가 내 중요시설 및 정부부처 등을 해킹해 여러 자료를 빼낸 북한의 해킹 조직으로, 최근에는 아시아·태평양 지역 국가까지 공격 범위를 확장하고 있는 실정으로 파악됐다.
김수키는 지난해 최소 세 차례에 걸쳐 외교 안보·통일·국방 전문가 892명에게 피싱 메일을 보냈으며, 지난해 10월에는 카카오 계정 관리 서비스로 위장한 후, 탈북민 등의 아이디·비밀번호 탈취를 시도하기도 한 이력이 있다.
이스트시큐리티는 "기관, 기업뿐만 아니라 관련 분야의 민간 전문가들 및 민간단체를 대상으로 한 북한의 사이버 공격이 지속되고 있는 만큼 관련자들의 각별한 주의가 필요하다"고 거듭 당부했다.