# 중학교 교사 이모씨는 ‘포털사이트 관리자’ 명의로 발송된 메일을 무심코 열람 했다가, 수년치 메일 송수신 내용은 물론, 클라우드에 저장된 이력서 및 개인 파일들이 통째로 유출되는 피해를 입었다. 이모씨가 수신한 메일은 북한 정찰 총국이 보낸 해킹용 메일이었다.
# 회사원 김모씨는 ‘비밀번호가 유출되었습니다’라는 제목의 메일을 열람한 뒤 즉시 비밀번호를 변경했다. 하지만 김씨는 며칠 뒤 관계 기관으로부터 “메일에 저장돼 있던 업무자료 등이 모두 해커에게 절취됐다”는 통보를 받았다. 코로나19 상황 가운데 재택근무를 위해 개인메일 계정으로 전송했던 민감 업무자료가 모두 북한으로 빠져나간 것이었다.
네이버・카카오(다음) 등을 사칭한 '해킹메일 전송'이 전체 北해킹수법의 74% 차지
북한이 해킹을 위해 사용되는 수법중 74%가 유명 포털사이트 관리자를 사칭한 해킹메일을 사용한다고 국가정보원이 25일 밝혔다. 이날 3년(2020~2022년)간 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해통계 자료와 함께 북한 해킹공격 분석 결과를 함께 공개했다.
국정원이 공개한 내용에는 북한의 해킹공격 유형, 사칭기관, 해킹공격에 사용한 메일 제목 및 실제 사칭계정 등이 담겼다.
이 자료에 따르면 보안프로그램의 약점을 뚫는 '취약점 악용'(20%)이나 특정사이트 접속시 악성코드가 설치되는 '워터링 홀'(3%) 수법 등도 활용했지만, 이메일을 악용한 해킹공격이 전체의 74%를 차지하며 압도적으로 많았다.
국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹 공격을 한다는 것은, 결국 북한이 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻"이라며 "기존 북한의 주요 해킹타깃이었던 전ᆞ현직 외교안보 분야 관계자 이외에, 대학교수ᆞ교사ᆞ학생 및 회사원 등도 해킹피해를 보고있다"고 했다.
약 7,000개 국내 포털사이트 사칭 메일
최근 국정원이 국내 해킹사고 조사과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여건의 해킹메일이 들어있었다. 이 가운데 약 7,000개가 네이버・다음 등의 국내 포털사이트로 사칭한 메일이었다. 뿐만 아니라, 해킹 메일이 발송될 국내 가입자 이메일 주소 4,100여개도 발견됐다.
해킹메일은 '새로운 환경에서 로그인되었습니다', '[중요] 회원님의 계정이 이용제한되었습니다.', '해외 로그인 차단기능이 실행 되었습니다.' 등 계정 보안 문제가 생긴 것처럼 제목을 단 해킹메일을 발송하고 있었다.
국정원은 "북한은 해킹메일로 확보한 계정정보를 이용하여 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"고 밝혔다.
이난 국정원은 북한발 해킹피해를 예방하기 위해 실제 북한의 해킹메일 샘플과 이에 대한 요령도 안내했다. 또한 "메일 열람시 ①보낸사람 앞에 붙어있는 '관리자 아이콘'(네이버, 다음) ②보낸사람 메일주소 ③메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다"며 메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화를 당부했다.
보다 구체적인 국정원의 '해킹메일 대응요령'은 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.
(국가사이버안보센터 - 자료실 - 교육자료 - 실생활속 위협 - 해킹메일 대응요령)
국정원 관계자는 "실효적인 해킹메일 차단 방안 마련을 위해서는 민간협력이 필수"라며 "네이버 ・ 다음 등 국내 주요 포털사이트 운영사와 관련 정보 공유를 강화해 나가겠다"고 발혔다.
최근 3년간 북한발 해킹메일 제목
새로운 환경에서 로그인 되었습니다.
[중요] 회원님의 계정이 이용제한되었습니다.
해외 로그인 차단 기능이 실행되었습니다.
회원님의 본인확인 이메일 주소가 변경되었습니다.
알림 없이 로그인하는 기기로 등록되었습니다.
회원님의 메일계정이 이용제한 되었습니다.
계정아이디가 충돌하였습니다. 본인 확인이 필요합니다.
고객님의 계정이 충돌되었습니다.
[경고]회원님의 아이디로 스팸이 대량 발송되었습니다.
[보안공지]비정상적인 로그인이 감지되었습니다.
최근 3년간 북한발 해킹메일 사칭 발신자명 (붉은색 표기)
[네이버 사칭 발신자명]
네0ㅣ버 (숫자 0)
네Oㅣ버 (영어 O)
'네이버'
Ⓒ네이버
(주)네이버
NAVER고객쎈터
' 네이버 MYBOX '
[카카오(다음) 사칭 발신자명]
?Daum 고객센터
Daum 보안쎈터
Daum 고객지원
[Daum]고객센터
다음메일 커뮤니케이션
Clean Daum
'카카오팀'
Daum 캐쉬담당자
최근 3년간 북한발 해킹메일 사칭 메일주소 (붉은색 표기)
[네이버 사칭 메일주소]
account_norply@navercop.com
accounsts_reply@navercorp.com
account_help@`navercorp.com
help@helpnaver.com
help@help.naveradmin.com
help@help.navor.com
mail_notify@naver.com
no-reply@navecorp.com
navermail_noreply@sian.com
[네이버 사칭 메일주소]
noreply@kakaocrop.net
norepley@kakaocorps.co.kr
no-reply@kakaocorp.com
notise-master@daurn.net
notice-master@daum.nat
notice-master@hanmail.net
noreply-master@kakao.com
noreply@kakao.com
noreply@kakaocrp.com
이외 북한이 사용한 해킹메일 대응요령에 대한 정보는 국가사이버안보센터 자료실에서 확인할 수 있다.
(국가사이버안보센터 - 자료실 - 교육자료 - 실생활속 위협 - 해킹메일 대응요령)