북한 연계 해커 조직 ‘TA444’가 보낸 피싱 메일 (프루프포인트 보고서 갈무리)
국세청 홈택스 사칭 메일 (안랩 홈페이지 갈무리)
또 연말정산 기간을 맞아 국세청 사칭 메일과 포켓몬 게임 위장 페이지 등도 잇따라 발견되면서 개인들이 더욱 보안 수칙을 꼼꼼하게 지켜야 한다는 목소리가 나온다.
27일 미국 보안업체 프루프포인트 보고서에 따르면 ‘TA444’라는 북한 해커들이 암호화폐를 얻고자 일종의 ‘사회공학적’ 해킹을 벌이고 있다. 기관 또는 지인을 사칭해 개인정보 또는 금품을 요구하는 형태를 말한다.
특히 지난해 12월부터는 미국과 캐나다 등을 대상으로 대규모 피싱 공격을 벌였는데, 기존과 다른 공격 수법을 벌인 것으로 나타났다. 유명 대기업을 사칭해 스카우트 제안 메일 또는 회사 사칭 연봉 조정 메일을 보낸 것. 이들이 지난달 보낸 전체 스팸 메일 역시 지난해 1년간 보낸 이메일의 약 2배 수준이다.
‘TA444’는 심지어 유명 비즈니스 메일 발송 플랫폼인 ‘센드인블루’(Sendinblue) 또는 ‘센드그리드’(SenGrid)를 사용했다. 이와 함께 직장인 또는 이직 준비생들이 즐겨 쓰는 구인구직 플랫폼 ‘링크드인’도 활용했다.
포켓몬 카드 게임 피싱 페이지 (안랩 홈페이지 갈무리)
현재 TA444가 이같은 공격을 통해 지난해 10억 달러 이상의 암호화폐 자산을 탈취한 것으로 보고서는 분석한다. 직전해인 2021년 4억 달러 규모를 빼낸 것의 2배 이상이다.
지난 17일 보안기업 안랩에 따르면, 최근 ‘마지막 경고’라는 제목의 국세청 사칭 메일이 발견된 바 있다. 이 메일은 수신자에게 로그인 비밀번호가 수신 당일 만료될 예정이라며 계정이 잠기기 전에 암호를 유지하라고 안내했다.
또 이메일 본문에 ‘같은 비밀번호 유지’라고 적힌 인터넷 주소(URL)를 담아 계정정보 유출 사이트로 연결되도록 유도했다. 메일 발신자 주소는 ‘hometaxadmin@hometax.go.kr’ 형태다.
안랩 측은 “사용자를 속이기 위해 공격자들은 다양한 기업을 위장해 정교하게 제작하고 있기 때문에 신뢰하지 않는 수신인으로부터 발송된 메일 열람을 자제해야 한다”고 강조했다.
일각에서는 어린이까지 겨냥한 포켓몬 카드 게임 피싱도 주의해야 한다는 목소리도 나온다. 최근 ‘넷서포트 RAT’란 악성코드가 담긴 포켓몬 카드 게임 위장 페이지가 발견되면서다.
이와 관련해 안랩 관계자는 “사용자는 파일 및 콘텐츠 다운로드시 공식 홈페이지를 이용해야 한다”며 “출처가 불분명한 파일 실행 금지뿐만 아니라 운영체제(OS) 및 인터넷 브라우저·응용프로그램·오피스 소프트웨어(SW) 등의 최신 버전 유지 및 보안 패치 적용 등 보안수칙을 준수해야 한다”고 말했다.
(서울=뉴스1)