RFA “통신사 KT 사칭 해킹 포착…北 김수키 소행 추정”

이용명세서 피싱 메일로 개인 정보 탈취 시도

통신사 KT를 사칭한 북한의 해킹 시도가 포착됐다고 미 자유아시아방송(RFA)이 29일 보도했다.

보도에 따르면 최근 북한의 해킹 조직이 발신한 것으로 추정되는 피싱 메일, 즉 개인의 정보를 탈취하려는 목적의 전자우편이 발견됐다.

이 전자우편은 ‘[KT이용요금명세서] 회원님께 도착한 전자문서를 확인하세요’라는 제목으로 발신자는 ‘KT이용요금명세서(edoc-file@biglobe.ne.jp)’다. 해당 전자우편 내용에는 KT가 보낸 것처럼 위장한 6월 명세서가 담겨 있었다.

전자우편의 6월 명세서 확인란을 클릭하면 네이버의 계정과 비밀번호를 기입하는 창이 출력된다. 6월 명세서를 확인하기 위해 네이버 계정과 비밀번호를 기입하면 해당 정보는 북한 해커에게 유출되는 구조다.

KT 관계자는 RFA에 해당 전자우편은 KT가 발신한 것이 아니며 발신자 계정도 KT와 무관하다고 확인했다.

해당 전자우편을 분석한 익명을 요구한 보안전문가는 “전형적인 북한의 피싱 공격”이라며 “북한의 해킹 조직인 김수키(Kimsuky)의 소행인 것으로 분류했다”고 밝혔다.

이어 “김수키가 다양한 주제로 해킹을 시도하고 있는데 KT와 같은 통신사 사칭은 보기 드문 사례”라고 말했다.

보안전문 기업인 안랩은 지난 16일 보고서를 통해 김수키가 다양한 주제를 이용해 악성코드를 유포 중이라고 알렸다.

안랩에 따르면 김수키가 지난 5월 한 달 동안 유포한 악성코드의 파일명은 가상자산, 세무, 임대차계약서, 연회비, 특정 사용자 간 금융거래, 상장심의자료, 4대보험 가입, 게임 계정 제재 안내 등과 관련된 것이었다.

안랩은 보고서를 통해 “유포 중인 악성코드는 정상적인 도움말 창을 생성하기 때문에 사용자는 이 화면에 속아 악성 행위를 알아차리기 어렵다”며 “생성된 도움말 창은 특정 분야의 종사자를 목표로 각각 다른 주제를 이용해 위장했다”고 분석했다.

이런 가운데 국가정보원은 전날 북한 정찰총국이 보안인증 프로그램인 ‘매직라인’(MagicLine4NX)의 보안 취약점을 악용해 지속적인 해킹 공격을 시도하고 있다며 주의를 당부했다.

매직라인은 국가·공공기관, 금융기관 등 홈페이지에 공동인증서를 활용해 로그인할 경우 본인인증을 위해 PC에 설치되는 소프트웨어다.

이 소프트웨어는 한번 PC에 설치된 후 사용자가 별도로 업데이트하거나 삭제하지 않으면 최초 상태 그대로 PC에서 자동 실행된다. 이로 인해 일단 보안 취약점이 노출되면 해커가 해킹경로로 지속 악용할 수 있게 된다.

국정원은 “최근 국민 대다수 PC에 설치돼 있는 프로그램의 보안 취약점이 북한 해커의 악성코드 유포 경로로 연이어 악용되고 있어 각별한 주의가 필요하다”고 경고했다.

[서울=뉴시스]