“경찰청입니다”…북한 해커, 이번엔 정부기관 사칭했다

공식 도메인처럼 위장된 메일…‘go.kr’ 아닌 ‘co.ke’ 사용
“정보 유출” “조사 대상” 겁주는 메시지로 회신 유도
지니언스 “첨부파일이나 URL은 발송 여부 확인 후 열람해야”

▲지니언스시큐리티센터가 분석한 경찰청 수사관 사칭 이메일. (사진제공=지니언스)

북한 연계 해킹 조직 '코니(Konni)'가 경찰청·국가인권위원회를 사칭해 사이버 공격을 감행한 것으로 드러났다. 해커는 수신자의 불안 심리를 자극해 회신을 유도한 뒤 악성 파일을 전달하는 수법을 사용했다.

5일 지니언스시큐리티센터(GSC)에 따르면 코니는 올해 1월부터 3월까지 정부 기관을 사칭한 피싱 이메일을 다수 유포했다. 해당 이메일은 마치 공식 기관에서 발송된 것처럼 보이도록 도메인을 위조했다.

해커들은 단순히 첨부 파일을 보내는 것이 아니라, 수신자가 직접 답장을 하도록 유도한 뒤 이후에 악성 파일을 전달하는 방식을 이용했다. 실제 메일에는 정식 조사나 수사처럼 “귀하의 이메일 계정이 해킹 사건에 연루됐다”거나 “인권 침해 조사가 필요하다”는 내용을 썼다. 또한, 메일에는 “ID와 비밀번호가 유출됐다면 메일에 첨부된 주소를 통해 즉시 변경하라”거나 “해당 메일을 지우지 말고 회신해 달라”는 식의 지시가 포함됐다.

▲지니언스시큐리티센터가 분석한 국가인권위원회 사칭 이메일. (사진제공=지니언스)

특히 도메인을 교묘히 위장한 점도 눈에 띈다. 실제 정부기관 도메인(go.kr)이 아닌 ‘co.ke’ 도메인을 사용해 마치 공식 메일처럼 보이게 했다. 실제 피싱 이메일에는 ‘humanrights.go.kr’을 흉내 낸 ‘humanrights.co.ke’가, ‘police.go.kr’ 대신 ‘police.co.ke’ 주소가 쓰였다.

GSC는 스피어 피싱 메일에 북한어가 다수 식별됐다고 분석했다. 실제로 메일 본문에선 ‘인차(곧)’, ‘제기(제출)’, ‘태공(태업)’ 등 북한말이 다수 발견됐다. GSC는 "보통 해킹 예방 보안교육 때 발신지 주소의 공식 여부를 꼼꼼히 살피도록 강조하기도 한다. 그런데 이번처럼 정교하게 조작된 경우 단순히 메일 주소만 100% 신뢰했다가는 예기치 못한 위협에 노출될 수 있다"며 "온라인 정보는 항상 의심하고 점검하는 보안 습관을 지니고, 첨부 파일이나 URL 링크가 있는 경우 번거롭더라도 발신자에게 발송 여부 확인 후 열람해야 한다"고 했다.

지니언스는 대응 방안으로 △의심 메일 회신 자제 △공식 도메인 여부 확인 △불분명한 파일 실행 주의 △행위 기반 탐지 시스템(EDR) 도입 등을 권고했다. 특히 해커 조직의 공격은 반복적이고 집요한 특성을 보이는 만큼, 조직 차원에서 지속적인 감시와 방어 체계 마련이 중요하다고 밝혔다.