북한 해커집단이 연초부터 개인정보 피싱메일을 발송한 것으로 확인됐다.
16일 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 자사 블로그에 피싱메일을 활용한 비밀번호 탈취 공격을 포착해 공유했다.
해당 메일은 '[긴급] 지금 바로 비밀번호를 변경해 주세요.'라는 제목으로 유포됐다. 현재는 서비스가 종료된 다음 이메일을 위장하고 있다. 이메일 본문에는 수신자의 계정정보 도용이 의심된다며 비밀번호 변경을 유도하는 내용과 함께 하이퍼링크가 포함돼 있다.
공격자는 얼핏 보면 다음 메일 주소와 비슷해 보이는 'daurn' 도메인을 사용했다.
이메일 본문 내 링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱페이지로 접속된다. 비밀번호 확인 및 변경을 이유로 비밀번호 입력을 유도한다.
ESRC는 여러 지표를 분석한 결과 이번 공격 배후에 북한 정찰총국의 지원을 받는 해킹 조직인 '김수키'가 있는 것으로 결론을 냈다.
ESRC는 "기관과 기업뿐만 아니라 관련 분야의 민간 전문가들 및 민간 단체를 대상으로 한 북한의 사이버 공격이 이어지고 있는 만큼 각별한 주의가 필요하다"고 했다.