금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
IT 정보통신

"PC버전 오류 긴급조치 안내" 카카오팀 메일…알고보니 '낚시하는 北해커'

뉴시스

입력 2022.10.19 15:31

수정 2022.10.19 15:31
기사내용 요약
주말에 시작된 피싱 공격 이례적…北, 국내 보안 취약점 언제든지 공격 가능 시사
첨부 파일 다운로드 유도 후 통제권 탈취 등 기존 北 피싱 수법 답습
민관 신속 대처에 연이은 변종 공격 실패한 북한…추가 피싱 공격 가능성 높아

[성남=뉴시스] 김근수 기자 = 15일 오후 경기도 성남시 판교 SK C&C 판교 데이터센터에 화재가 발생해 포털사이트 다음과 카카오톡 사용이 일시중단 되었다. 사진은 포털사이트 다음 사이트. 2022.10.15. ks@newsis.com *재판매 및 DB 금지
[성남=뉴시스] 김근수 기자 = 15일 오후 경기도 성남시 판교 SK C&C 판교 데이터센터에 화재가 발생해 포털사이트 다음과 카카오톡 사용이 일시중단 되었다. 사진은 포털사이트 다음 사이트. 2022.10.15. ks@newsis.com *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = # 북한 관련 연구소에서 근무하는 A씨는 지난 18일 ‘카카오 업데이트 안내’라는 메일을 한 통 받았다. 해당 메일은 ‘첨부된 업데이트 파일을 설치하면 다음 한메일 등을 정상 이용 가능하다’고 안내했다. 메일 속 인터넷주소(URL)도 보안업계에서 미리 공지 받은 주의해야 할 URL과 달랐다. 하지만 의심을 거두지 못한 A씨는 카카오 고객센터를 통해 해당 메일이 정상 메일인지 문의했고 피싱 메일이라는 회신을 받았다.
그는 “고객센터에 확인을 안 했으면 카카오를 사칭한 피싱 메일에 당했을 것”이라며 가슴을 쓸어내렸다.

카카오 서비스 장애를 틈탄 피싱 공격이 지난 16일 첫 발견된 이후 URL 주소 등을 바꿔가며 계속되고 있다. 이는 공격자가 카카오 사칭 피싱에 대한 대응이 단시간에 진행되자, 이를 따돌리기 위해 URL, 메일 내용 등을 수정해가며 변종 공격을 시도한 것이다.

19일 보안업계에 따르면 전날 기준 URL을 변경한 2차 공격이 발견됐고, 한국인터넷진흥원(KISA) 등 유관 기관과 보안업계는 공격 수법에 대한 분석에 착수했다.

◆카카오 복구 상황 실시간 반영한 피싱 메시지…단시간 내 정교한 공격

문종현 이스트시큐리티 이사는 이번 공격이 굉장히 정교한 수법이라고 평가했다. 그는 “ 실제 카카오에서 보낸 것처럼 발신자나 URL을 조작했고, 피싱 메일에 담긴 문구도 진짜 같았다”라며 “가령 지금 모바일 장애는 해결됐지만 PC버전 카카오톡에서 문제가 계속되고 있으니 업데이트 버전을 설치하라는 문구를 적었다”라고 설명했다.

실제로 피싱 메일은 ‘[KaKao] 일부 서비스 오류 복구 및 긴급 조치 안내’라는 제목으로 발신됐다. 또 보낸 사람은 ‘카카오팀(account_support@kakaocorps.com)’을 사칭했다.

그렇다면 이번 피싱 공격은 얼마만큼 위험할까. 문 이사는 “이번 카카오 위장 피싱에 당하면 해당 PC는 이미 기존 사용자의 손을 벗어났다고 봐야한다”라며 “공격자는 모든 권한을 탈취해 원격제어, 염탐 등을 통해 정보를 유출할 것”이라고 경고했다.

◆기존 北 피싱 수법 답습…“카카오 장애 인지하고 이례적으로 주말에 공격 시작”

보안업계는 이번 피싱 공격을 북한과 연계된 해커조직의 소행으로 추정하고 있다. 우선 공격 대상이 북한 관련 업무 종사자나 탈북민 등을 대상으로 한다는 점이다. 또 공격 수법이 이전 북한이 주로 사용한 피싱 수법을 답습했다는 점이 근거다.

북한은 그동안 북한 관련 행사 초청이나 강연 사례비 지급 등을 명목으로 메일에 첨부된 안내 파일을 내려받도록 유도했다. 이 파일을 내려받으면 해당 PC의 통제권을 탈취하는 수법을 주로 사용했다. 이번에는 첨부 파일이 카카오톡 업데이트 파일로 변경됐지만, 북한 관련 인사들을 했다는 점 등에서 그동안 수법과 유사하다는 판단이다.

이례적인 것은 이번 공격이 주말인 지난 16일부터 이뤄졌다는 점이다. 문 이사는 “북한도 주말에는 쉬는 문화가 있는데, 이번 공격은 밤샘 작업으로 만들어진 것으로 확인됐다”라며 “1차 피싱 공격을 분석해 북한이 새벽에 작업한 것으로 보이는 흔적을 발견했다”라고 말했다.

이어 “이는 북한이 주말에도 한국에서 발생하는 사회적 이슈, 사회 현상을 계속 지켜보고 있다가 보안 취약점을 틈타 공격을 시도한 것”이라고 분석했다. 즉, 북한이 지난 15일 오후 3시께 발생한 카카오 장애가 대국민 이슈로 확산되는 것을 인지하고, 사이버 공격에 나선 것이다.

◆민관 신속 대응에 공격 성과 기대 못미친 北…전문가 “추가 공격 가능성”

다만 피해 사례 신고에 따른 대응은 어려운 것으로 알려졌다. 문 이사는 “공격대상을 비롯해 피해자들이 북한 관련업무 종사자들이기 때문에 민감한 정보를 다루는 경우가 많다”라며 “이들이 피싱 공격으로 피해를 봤더라도 적극적으로 신고에 나서는 경우는 드물다”라고 말했다. 결국 피싱 모니터링, 추적 등을 통한 보안업계의 자체 역량으로 대응에 나서고 있다는 의미다.


문 이사는 1차, 2차 피싱 공격에서 큰 재미를 보지 못한 북한이 3차 공격에 나설 것으로 전망했다. 그는 “정부와 카카오는 1차 공격이 감지되고 바로 카카오 사칭 피싱에 대한 주의보를 내렸다”라며 “이에 URL 주소 변경, 현 복구 상황 등을 반영한 2차 공격이 시도됐다”라고 말했다.


이어 “복구 상황을 실시간으로 안내한 가짜 메일과 함께 2차 공격이 이뤄진 것을 고려하면 카카오 정상화가 예상되는 오늘도 서비스 정상화 등의 메시지로 위장한 피싱 공격이 계속될 수 있다”며 주의를 당부했다.

☞공감언론 뉴시스 song@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>

저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지

fnSurvey