[단독]‘장관 표창’ 메일 열면 악성코드 감염
신무경 기자
입력 2020-12-10 03:00 수정 2020-12-10 12:18
기자 등 상대로 기밀 탈취 노려
北 정찰총국 산하 해커 소행인듯
북한 정부와 연계된 조직의 소행으로 추정되는 해킹 사건이 연이어 발견됐다. 정부기관을 사칭한 이메일을 보내 악성코드를 심은 문서파일을 열어보도록 유도하는 방식이어서 주의가 요구된다.
9일 보안업계에 따르면 북한 정찰총국 산하 해킹 그룹(킴수키)으로 추정되는 해커가 최근 통일부를 사칭해 통일부 출입 기자, 북한 연구단체 연구원 등에게 ‘2020년 북한이탈주민 정착지원 업무 우수자 추천의뢰’라는 제목의 이메일을 보냈다.
네이버 주소로 보낸 해당 메일에는 실제 통일부에서 근무하는 ○○○ 주무관이라는 이름과 연락처, 이메일 주소(○○○@unikorea.go.kr)를 표시해 마치 정부 관계자가 보낸 것처럼 위장했다.
첨부된 ‘장관표창에 대한 동의서’라는 제목의 한글 문서(HWP) 파일(사진)에는 악성코드가 심어져 있어 내려받아 문서를 열면 감염돼 컴퓨터가 해커의 통제를 받는다.
얼마나 많은 인원이 해당 메일을 받거나 열어봤는지, 피해 규모가 얼마나 되는지는 아직 확인되지 않았다. 앞서 2019년 1월에도 북 해커가 통일부 기자단 등에게 이메일로 악성코드가 담긴 파일을 배포한 바 있어 이번 사건도 북한 측의 소행인 것으로 보안업계는 추정하고 있다.
보안업체 이스트시큐리티도 탈륨(킴수키를 달리 부르는 말), 금성 121 등 북한 연계 조직의 소행으로 추정되는 지능형지속위협(APT) 공격이 연이어 발견되고 있다고 9일 밝혔다.
이스트시큐리티에 따르면 해커들은 최근 통일부, 강원 춘천시 등 정부기관을 사칭한 이메일을 보냈다. 통일부를 사칭한 메일은 정부 공식 문서처럼 정교하게 조작된 이미지 첫 장을 미리 보여주고, 하단에 해당 파일을 내려받을 수 있는 것처럼 링크를 삽입해 클릭을 유도했다.
춘천시를 사칭한 공격은 실제 시가 진행 중인 ‘2020 평화·통일 이야기 공모전’의 신청서를 모방했다. 문서를 열고 편집을 시도하면 보안경고 팝업창이 뜨는데 ‘한 번 허용’을 클릭하면 악성코드가 설치된다.
기업을 대상으로 한 북한 측의 해킹 시도도 늘고 있다. 이달 초에는 현대자동차그룹 계열사가 이용하는 사내 인트라넷을 위장한 피싱 사이트를 개설했다가 폐쇄하기도 했다.
신무경 기자 yes@donga.com
北 정찰총국 산하 해커 소행인듯
9일 보안업계에 따르면 북한 정찰총국 산하 해킹 그룹(킴수키)으로 추정되는 해커가 최근 통일부를 사칭해 통일부 출입 기자, 북한 연구단체 연구원 등에게 ‘2020년 북한이탈주민 정착지원 업무 우수자 추천의뢰’라는 제목의 이메일을 보냈다.
네이버 주소로 보낸 해당 메일에는 실제 통일부에서 근무하는 ○○○ 주무관이라는 이름과 연락처, 이메일 주소(○○○@unikorea.go.kr)를 표시해 마치 정부 관계자가 보낸 것처럼 위장했다.
첨부된 ‘장관표창에 대한 동의서’라는 제목의 한글 문서(HWP) 파일(사진)에는 악성코드가 심어져 있어 내려받아 문서를 열면 감염돼 컴퓨터가 해커의 통제를 받는다.
얼마나 많은 인원이 해당 메일을 받거나 열어봤는지, 피해 규모가 얼마나 되는지는 아직 확인되지 않았다. 앞서 2019년 1월에도 북 해커가 통일부 기자단 등에게 이메일로 악성코드가 담긴 파일을 배포한 바 있어 이번 사건도 북한 측의 소행인 것으로 보안업계는 추정하고 있다.
보안업체 이스트시큐리티도 탈륨(킴수키를 달리 부르는 말), 금성 121 등 북한 연계 조직의 소행으로 추정되는 지능형지속위협(APT) 공격이 연이어 발견되고 있다고 9일 밝혔다.
이스트시큐리티에 따르면 해커들은 최근 통일부, 강원 춘천시 등 정부기관을 사칭한 이메일을 보냈다. 통일부를 사칭한 메일은 정부 공식 문서처럼 정교하게 조작된 이미지 첫 장을 미리 보여주고, 하단에 해당 파일을 내려받을 수 있는 것처럼 링크를 삽입해 클릭을 유도했다.
춘천시를 사칭한 공격은 실제 시가 진행 중인 ‘2020 평화·통일 이야기 공모전’의 신청서를 모방했다. 문서를 열고 편집을 시도하면 보안경고 팝업창이 뜨는데 ‘한 번 허용’을 클릭하면 악성코드가 설치된다.
기업을 대상으로 한 북한 측의 해킹 시도도 늘고 있다. 이달 초에는 현대자동차그룹 계열사가 이용하는 사내 인트라넷을 위장한 피싱 사이트를 개설했다가 폐쇄하기도 했다.
신무경 기자 yes@donga.com
비즈N 탑기사
- “도박자금 마련하려고”…시험장 화장실서 답안 건넨 전직 토익 강사
- 몸 속에 거즈 5개월 방치…괄약근 수술 의사 입건
- 일본 여행시 섭취 주의…이 제품 먹고 26명 입원
- “1인 안 받는 이유 있었네”…식탁 위 2만원 놓고 간 손님 ‘훈훈’
- 10만원짜리 사탕?…쓰레기통까지 뒤져 찾아간 커플
- 꿀로 위장한 고농축 대마 오일…밀수범 2명 구속 송치
- 송지아·윤후, 머리 맞대고 다정 셀카…‘아빠! 어디가?’ 꼬마들 맞아? 폭풍 성장
- 한소희 올린 ‘칼 든 강아지’ 개 주인 등판…“유기견이 슈퍼스타 됐다” 자랑
- 딱 한 장만 산 복권이 1등 당첨…20년간 월 700만원
- 기존 크림빵보다 6.6배 큰 ‘크림대빵’ 인기
- 담배 1갑당 5원 ‘연초부담금’ 사라진다…타당성 낮은 부담금 폐지
- “강북 상업지역 3배로 확대… 신도시급 개발”
- “쓸만한 콘텐츠 없네” GPT스토어 두달만에 시들
- 봄, 꽃그늘 아래로 걸어볼까…관광공사 4월 추천 여행지
- 갈수록 넘쳐나는 거품… 오비맥주 한맥, ‘크림 거품’ 생맥주로 승부수
- “아이폰 판매 감소, 경쟁 심화에도…애플, 中서 2배 성장 가능”
- “집값 떨어진 김에 자식에게”…서울 아파트 증여 늘었다
- 가성비 좋고 재미까지… 고물가 속 ‘빅사이즈 먹거리’ 뜬다
- “상생금융, 효과적 브랜딩이자 마케팅… 고객 어려움 돌봐야”
- 팀 쿡 “중국서 연내 비전프로 출시”