[디지털투데이 강진규 기자] 국정원은 국가, 공공기관 및 국제, 국가배후 해킹조직에 대응하는 과정에서 집계한 한국 대상 해킹공격 자료 중 최근 3년(2020~2022년) 간 발생한 북한 해킹 공격 통계를 25일 공개했다. 

국정원 자료에 따르면, 북한은 보안프로그램의 약점을 뚫는 ‘취약점 악용’(20%)이나 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법 등도 활용했지만, 이메일을 악용한 해킹공격이 전체의 74%를 차지하며 압도적으로 많았다. 

국정원 관계자는 “국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 결국 북한이 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻”이라며 “기존 북한의 주요 해킹타깃이었던 전, 현직 외교안보 분야 관계자 이외에 대학교수·교사·학생 및 회사원 등도 해킹피해를 보고 있다”고 말했다.

북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형하고 있다는 것이 국정원의 설명이다.

북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안하여, 해킹메일을 유포 시 네이버, 카카오(다음) 등 국내 포털사이트를 많이 사칭(약 68%)하고 있었다. 

북한은 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 ‘포털사이트 관리자’인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인을 유도하고 있다. 

또 북한은 메일 사용자들을 속이기 위해 ‘새로운 환경에서 로그인되었습니다’, ‘[중요] 회원님의 계정이 이용제한되었습니다’, ‘해외 로그인 차단 기능이 실행되었습니다’ 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있었다.

국정원 관계자는 “북한은 해킹메일로 확보한 계정정보를 이용하여 메일계정 내 정보를 탈취하고 메일함 수발신 관계를 분석해 2~3차 공격대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 밝혔다.