최근 북한 해커 ‘TA444’가 전세계 직장인을 대상으로 ‘구인 제안’ 또는 ‘연봉 조정’ 같은 피싱(금융사기) 메일을 보낸 것으로 나타났다. 설 연휴기간 중국 해커 조직 ‘샤오치잉’(Xiaoqiying)도 국내 기관 12곳을 공격한 가운데, 각별한 주의가 요구된다.

또 연말정산 기간을 맞아 국세청 사칭 메일과 포켓몬 게임 위장 페이지 등도 잇따라 발견되면서 개인들이 더욱 보안 수칙을 꼼꼼하게 지켜야 한다는 목소리가 나온다.

27일 미국 보안업체 프루프포인트 보고서에 따르면 ‘TA444’라는 북한 해커들이 암호화폐를 얻고자 일종의 ‘사회공학적’ 해킹을 벌이고 있다. 기관 또는 지인을 사칭해 개인정보 또는 금품을 요구하는 형태를 말한다.

이들은 ‘ATP38’과 ‘라자루스’처럼 북한 연계 조직으로, 지난 2017년부터 암호화폐 해킹을 목적으로 활동하고 있다고 업체는 짚었다.

특히 지난해 12월부터는 미국과 캐나다 등을 대상으로 대규모 피싱 공격을 벌였는데, 기존과 다른 공격 수법을 벌인 것으로 나타났다. 유명 대기업을 사칭해 스카우트 제안 메일 또는 회사 사칭 연봉 조정 메일을 보낸 것. 이들이 지난달 보낸 전체 스팸 메일 역시 지난해 1년간 보낸 이메일의 약 2배 수준이다.

‘TA444’는 심지어 유명 비즈니스 메일 발송 플랫폼인 ‘센드인블루’(Sendinblue) 또는 ‘센드그리드’(SenGrid)를 사용했다. 이와 함께 직장인 또는 이직 준비생들이 즐겨 쓰는 구인구직 플랫폼 ‘링크드인’도 활용했다.

공격자는 실제 기업이 보낸 것처럼 메일 주소를 ‘admin@sharedrive.ink’ 같은 형태로 꾸몄다. 속임수에 넘어간 이용자는 개인정보 수집 페이지로 유인되는 형태다.

현재 TA444가 이같은 공격을 통해 지난해 10억 달러 이상의 암호화폐 자산을 탈취한 것으로 보고서는 분석한다. 직전해인 2021년 4억 달러 규모를 빼낸 것의 2배 이상이다.

국내 보안업계는 TA44의 피싱 메일뿐만 아니라 ‘13월의 월급’으로 불리는 연말정산 시즌을 겨냥한 국세청 홈택스 사칭 메일로 주의해야 한다는 입장이다.

지난 17일 보안기업 안랩에 따르면, 최근 ‘마지막 경고’라는 제목의 국세청 사칭 메일이 발견된 바 있다. 이 메일은 수신자에게 로그인 비밀번호가 수신 당일 만료될 예정이라며 계정이 잠기기 전에 암호를 유지하라고 안내했다.

또 이메일 본문에 ‘같은 비밀번호 유지’라고 적힌 인터넷 주소(URL)를 담아 계정정보 유출 사이트로 연결되도록 유도했다. 메일 발신자 주소는 ‘hometaxadmin@hometax.go.kr’ 형태다.

안랩 측은 “사용자를 속이기 위해 공격자들은 다양한 기업을 위장해 정교하게 제작하고 있기 때문에 신뢰하지 않는 수신인으로부터 발송된 메일 열람을 자제해야 한다”고 강조했다.

일각에서는 어린이까지 겨냥한 포켓몬 카드 게임 피싱도 주의해야 한다는 목소리도 나온다. 최근 ‘넷서포트 RAT’란 악성코드가 담긴 포켓몬 카드 게임 위장 페이지가 발견되면서다.

안랩에 따르면 가짜 게임 페이지 속 ‘재생’(Play on PC) 버튼을 누르는 순간, 악성코드가 실행되는 형태다. 또 가짜 게임 파일은 아이콘뿐만 아니라 버전 정보까지 위장하고 있어 보안인식이 낮은 이용자의 경우 충분히 개인정보 유출 가능성 우려가 있다.

이와 관련해 안랩 관계자는 “사용자는 파일 및 콘텐츠 다운로드시 공식 홈페이지를 이용해야 한다”며 “출처가 불분명한 파일 실행 금지뿐만 아니라 운영체제(OS) 및 인터넷 브라우저·응용프로그램·오피스 소프트웨어(SW) 등의 최신 버전 유지 및 보안 패치 적용 등 보안수칙을 준수해야 한다”고 말했다.

(서울=뉴스1)