[단독]‘장관 표창’ 메일 열면 악성코드 감염
신무경 기자
입력 2020-12-10 03:00 수정 2020-12-10 12:18
기자 등 상대로 기밀 탈취 노려
北 정찰총국 산하 해커 소행인듯
북한 정부와 연계된 조직의 소행으로 추정되는 해킹 사건이 연이어 발견됐다. 정부기관을 사칭한 이메일을 보내 악성코드를 심은 문서파일을 열어보도록 유도하는 방식이어서 주의가 요구된다.
9일 보안업계에 따르면 북한 정찰총국 산하 해킹 그룹(킴수키)으로 추정되는 해커가 최근 통일부를 사칭해 통일부 출입 기자, 북한 연구단체 연구원 등에게 ‘2020년 북한이탈주민 정착지원 업무 우수자 추천의뢰’라는 제목의 이메일을 보냈다.
네이버 주소로 보낸 해당 메일에는 실제 통일부에서 근무하는 ○○○ 주무관이라는 이름과 연락처, 이메일 주소(○○○@unikorea.go.kr)를 표시해 마치 정부 관계자가 보낸 것처럼 위장했다.
첨부된 ‘장관표창에 대한 동의서’라는 제목의 한글 문서(HWP) 파일(사진)에는 악성코드가 심어져 있어 내려받아 문서를 열면 감염돼 컴퓨터가 해커의 통제를 받는다.
얼마나 많은 인원이 해당 메일을 받거나 열어봤는지, 피해 규모가 얼마나 되는지는 아직 확인되지 않았다. 앞서 2019년 1월에도 북 해커가 통일부 기자단 등에게 이메일로 악성코드가 담긴 파일을 배포한 바 있어 이번 사건도 북한 측의 소행인 것으로 보안업계는 추정하고 있다.
보안업체 이스트시큐리티도 탈륨(킴수키를 달리 부르는 말), 금성 121 등 북한 연계 조직의 소행으로 추정되는 지능형지속위협(APT) 공격이 연이어 발견되고 있다고 9일 밝혔다.
이스트시큐리티에 따르면 해커들은 최근 통일부, 강원 춘천시 등 정부기관을 사칭한 이메일을 보냈다. 통일부를 사칭한 메일은 정부 공식 문서처럼 정교하게 조작된 이미지 첫 장을 미리 보여주고, 하단에 해당 파일을 내려받을 수 있는 것처럼 링크를 삽입해 클릭을 유도했다.
춘천시를 사칭한 공격은 실제 시가 진행 중인 ‘2020 평화·통일 이야기 공모전’의 신청서를 모방했다. 문서를 열고 편집을 시도하면 보안경고 팝업창이 뜨는데 ‘한 번 허용’을 클릭하면 악성코드가 설치된다.
기업을 대상으로 한 북한 측의 해킹 시도도 늘고 있다. 이달 초에는 현대자동차그룹 계열사가 이용하는 사내 인트라넷을 위장한 피싱 사이트를 개설했다가 폐쇄하기도 했다.
신무경 기자 yes@donga.com
北 정찰총국 산하 해커 소행인듯
9일 보안업계에 따르면 북한 정찰총국 산하 해킹 그룹(킴수키)으로 추정되는 해커가 최근 통일부를 사칭해 통일부 출입 기자, 북한 연구단체 연구원 등에게 ‘2020년 북한이탈주민 정착지원 업무 우수자 추천의뢰’라는 제목의 이메일을 보냈다.
네이버 주소로 보낸 해당 메일에는 실제 통일부에서 근무하는 ○○○ 주무관이라는 이름과 연락처, 이메일 주소(○○○@unikorea.go.kr)를 표시해 마치 정부 관계자가 보낸 것처럼 위장했다.
첨부된 ‘장관표창에 대한 동의서’라는 제목의 한글 문서(HWP) 파일(사진)에는 악성코드가 심어져 있어 내려받아 문서를 열면 감염돼 컴퓨터가 해커의 통제를 받는다.
얼마나 많은 인원이 해당 메일을 받거나 열어봤는지, 피해 규모가 얼마나 되는지는 아직 확인되지 않았다. 앞서 2019년 1월에도 북 해커가 통일부 기자단 등에게 이메일로 악성코드가 담긴 파일을 배포한 바 있어 이번 사건도 북한 측의 소행인 것으로 보안업계는 추정하고 있다.
보안업체 이스트시큐리티도 탈륨(킴수키를 달리 부르는 말), 금성 121 등 북한 연계 조직의 소행으로 추정되는 지능형지속위협(APT) 공격이 연이어 발견되고 있다고 9일 밝혔다.
이스트시큐리티에 따르면 해커들은 최근 통일부, 강원 춘천시 등 정부기관을 사칭한 이메일을 보냈다. 통일부를 사칭한 메일은 정부 공식 문서처럼 정교하게 조작된 이미지 첫 장을 미리 보여주고, 하단에 해당 파일을 내려받을 수 있는 것처럼 링크를 삽입해 클릭을 유도했다.
춘천시를 사칭한 공격은 실제 시가 진행 중인 ‘2020 평화·통일 이야기 공모전’의 신청서를 모방했다. 문서를 열고 편집을 시도하면 보안경고 팝업창이 뜨는데 ‘한 번 허용’을 클릭하면 악성코드가 설치된다.
기업을 대상으로 한 북한 측의 해킹 시도도 늘고 있다. 이달 초에는 현대자동차그룹 계열사가 이용하는 사내 인트라넷을 위장한 피싱 사이트를 개설했다가 폐쇄하기도 했다.
신무경 기자 yes@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- “롯데百의 미래 ‘타임빌라스’에 7조 투자, 국내 쇼핑몰 1위로”
- 합병 앞둔 SK이노, 계열사 사장 3명 교체… 기술형 리더 발탁
- ‘美 공급망 재편 수혜’ 인도 주식에 올해 국내 자금 1.2조 몰려
- 재건축 단지에 현황용적률 인정… 사업성 증가 효과[부동산 빨간펜]
- AI 뛰어든 참치회사 “GPT 활용해 모든 배 만선 만들 겁니다”
- HBM의 질주… SK하이닉스 영업익 7조 사상 최대
- “고위험 환자 타비 시술 거뜬… 최초 기록도 다수”[베스트 메디컬센터]
- 데이미언 허스트와 호두과자가 만났을 때[여행스케치]
- 65억원 포기하고 애플 나와 독립… “모든 기기에 AI칩 넣는다”[허진석의 톡톡 스타트업]
- “SNS가 아이들 망친다”…노르웨이, 15세 미만 금지 추진