대통령직 인수위 위원들 겨냥한 해킹시도 포착
대학교 보안메일로 위장하는 정교함…北정권 연계 해커 추정
아이디·비밀번호 탈취한 뒤 내부 정부 빼돌리려는 목적
새정부 출범 앞두고 해킹 시도 늘어…비밀번호 변경 등 주의 필요
【서울=뉴시스】송종호 기자 = 대통령직인수위원회 인수위원들을 겨냥한 해킹 시도가 연이어 포착되고 있다. 정부기관을 사칭한 이메일을 보내 아이디와 암호를 탈취하는 방식인데, 이번에는 소속 위원들이 재직하는 대학 메일 서버로 교묘히 위장하는 치밀함을 보였다. 보안 전문가들은 북한과 연계된 해커 조직의 소행으로 추정하고 있다.
28일 보안 당국 및 관련 전문가들에 따르면, 지난 25일 즈음 대통령직인수위원회 소속 일부 대학교수들은 ‘통일부 국제협력과입니다’라는 제목의 이메일 한통을 받았다. 해당 메일은 통일부에서 근무하는 ○○○ 사무관이라며 소개하며 마치 정부 관계자가 보낸 것처럼 위장한 메일이다.
이 메일에서 해커는 지인의 소개를 받고 자문 요청차 연락한 것처럼 속인 뒤 ‘2022_한반도국제평화포럼KGFP_전문가_검토의견서.hwp’란 이름의 첨부 파일을 클릭하도록 유도했다.
보안 전문가 확인 결과, 이 메일은 타깃 인사들의 아이디와 패스워드를 빼내기 위해 교묘히 조작된 악성 피싱 메일로 밝혀졌다. 실제 첨부 파일처럼 보이도록 디자인돼 있지만, 사실은 해커가 꾸며 놓은 가짜 사이트로 연결되는 링크가 숨겨져 있다.
가령, 수신자가 첨부 파일로 오해하고 내려받기를 시도하면 대학 메일 웹페이지가 뜨고 보안 메일이기 때문에 본인 인증이 한번 더 필요하다는 알람 창이 뜬다. 메일 웹페이지는 해커가 조작한 위장 사이트로, 고려대·연세대·성균관대·단국대·서울시립대 등 해당 인수위원의 소속 대학에 맞춰 해당 대학 메일 웹사이트가 뜨도록 하는 치밀함을 보였다.
알림창은 수신자의 교내 아이디와 비밀번호를 입력하도록 돼 있는데, 인수 위원이 무심결에 보안 추가인증인 줄 알고 아이디와 비밀번호를 입력하면 해커의 서버로 실시간 전송되는 구조다.
해커는 의심을 피하기 위해 아이디와 비밀번호를 입력하면 실제 정상 문서 파일을 내려받도록 했다. 개인정보 탈취 이후에도 해킹됐음을 인지하지 못하도록 하는 일종의 미끼 파일로 사용된 셈이다.
인수위 위원들을 타깃으로 한 해킹 시도는 포착됐지만, 실제 해킹 피해가 있었는지 여부는 확인되지 않고 있다.
당시 이번 해킹파일을 분석한 보안 전문가는 "당시 악성 피싱메일을 받았던 인수위 소속 위원들은 외교, 안보 분야에서 활동하는 대학 교수들로 추정된다"며 "이들의 아이디와 비밀번호를 탈취한 뒤 내부 정보들을 빼내려는 시도로 보인다"고 말했다.
보안 전문가들은 이번 사건을 북한 당국과 연계된 해커의 소행으로 보고 있다. 해당 문서 저장 계정이 ‘zhaozhongcheng’으로 확인됐는데, 이 계정은 2019년부터 북한당국과 연계된 해킹사례에서 공통적으로 발견되고 있다. 앞서 지난 1월 국제 행사에 참석한 동시 통역사를 겨냥한 해킹 시도 때도 동일한 계정이 발견됐다.
주목할 점은 새정부 출범을 앞두고 대통령직 인수위원들을 겨냥한 해킹 시도가 계속 이어지고 있다는 점이다. 최근 한 서울대 교수 전자우편 계정으로 ‘코로나 양성으로 인한 비대면 문의’라는 제목의 사칭메일을 보내기도 했다. 이 또한 개인정보를 탈취하려는 목적이었다.
보안 전문가들은 새정부 주요 인사들을 겨냥한 해킹 공격이 앞으로 더욱 늘어날 것으로 전망되는 만큼, 관계자들이 비밀번호 변경, 메일 발송여부 확인 등을 통해 스스로 정보유출에 각별히 주의해줄 것을 당부했다.
문종현 이스트시큐리티 이사는 “현재 북한 연계 사이버안보 위협 조직의 대남 공작 전개가 예사롭지 않다”라며 “특히, 외교·안보·국방·통일 및 대북 분야에서 활동하는 고위 유력 인사를 겨냥한 공격 시도가 계속될 것"이라고 말했다. 이어 “이메일의 첨부파일을 열어보기 전 발신자에 전화 등을 통해 실제 발송 여부를 확인하는 것이 중요하다”라며 “지금 즉시 사용 중인 비밀번호를 복잡하게 변경하고 2차 인증 등의 보안강화를 해야 한다”라고 강조했다.
◎공감언론 뉴시스 song@newsis.com