무심코 누른 첨부파일...눈 뜨고 당한다?

하루에도 수십 통의 이메일을 받는다.

발신은 여러 시민사회단체, 정부기관, 국회의원, 그리고 시민... 수많은 기자 중 1명에 불과한 나에게도 이들은 알리고 싶은 게 많은 것이다. 그렇게 받는 이메일 중 상당수엔 주로 문서파일이 첨부돼 있다. 이메일 제목을 보고 내용을 훑어본 뒤 첨부파일도 클릭해 내용을 살핀다. 대부분의 기자는 물론 시민들도 그렇게 할 것이다.



여기 이메일 하나가 있다.

메일 제목은 <북한 핵미사일 위협시 대응>, 발신자는 그 분야에서  제법 이름이 나 있는 교수다. 최근 정세와 관련한 자신의 논문을 한 번 읽어보라는 내용의 이메일이다. 첨부파일을 클릭해봐도 내용대로 그 교수의 논문이다. 그렇구나, 하고 지나칠 만하다.

또다른 이메일, 학회에 가입하라면서 가입 신청서를 첨부했다. 관련 분야는 내가 몸담고 있고 깊이 관여하고 있는 관심 영역이다. 클릭하지 않을 재간이 별로 없다. 그런데 이게 '스피어 피싱'이었다.
'스피어 피싱'은 Spear-phishing, 작살로 뭔가를 찌르듯 특정인을 겨냥해 기밀정보를 빼내는 범죄행위를 뜻한다. 주로 이메일에 첨부한 문서파일 등에 악성코드를 심어놓는 방식을 많이 쓴다고 한다.

피해자는 '겨레얼통일연대'라는 북한 이탈주민 단체의 대표였다. 이 대표는 지난 4월과 5월, 그리고 11월 세 차례에 걸쳐 스피어 피싱 메일을 받았던 것으로 경찰 조사 결과 드러났다. 4월과 5월엔 몰랐다고 한다. 11월에야 자신의 컴퓨터에 저장돼 있던 문서파일이 사라진 걸 알게 됐다고 말했다.(문제의 메일을 보낸 이가 악성코드를 심어놓고 파일을 가져간 건 11월이었을 가능성이 있다.)

경찰에서 파악해보니 사라진 문서파일은 천 2백여 건이나 됐다. 이 단체의 활동에 대한 문서나 연구용역을 맡겼다 받은 보고서 등 북한 관련 문서가 다량 섞여 있었다고 한다.

경찰은 북한 소행으로 추정된다고 설명했다.

경찰의 근거는 이렇다. 해커가 접속한 IP가 중국과 체코 IP로 확인됐고 북한 이탈주민 단체 대표를 공격 대상으로 삼았으며 한글파일에 악성코드를 삽입한 점 등이다. 추적을 피하기 위해 IP를 우회 접속한 것이야 해커들이 노상 쓰는 수법이지만 장 대표를 노렸다는 것과 한글파일의 취약성을 활용했다는 점에서는 다른 나라 해커로 보기 어렵다는 설명이다.

북한 해커가 저지른 행위로 추정된다는 건 그리 충격적이진 않았다. 그러나 수법은 놀랄 만했다. 그저 내가 평소에도 받을 법한 이메일을 하나 작성하고 파일도 구한 뒤 거기에 악성코드를 심어 뿌리면 꼼짝없이 걸릴 것 아닌가 싶었다. 누군가 나를 맘먹고 찍어서 내 PC를 털려고 한다면, 네티즌 수사대가 신상 털어버리듯 속수무책이겠다.

경찰은 스피어피싱 피해 방지를 위해서 이렇게 하도록 했는데 일단은 참고해야겠다. 하지만 과연 피해 방지가 가능할 지 회의적이다. 노리고 덤비면 당하지 않을 수 있을 것인가.

-----------------------

○ 중요자료가 담겨있는 인터넷 PC에 대해서는 특별한 주의와 중요자료에 대해 백업 등 별도 보관 및 관리가 필요.
○ 이메일 수신시 의심되는 첨부파일은 반드시 컴퓨터에 다운로드 저장한 후 백신프로그램으로 감염여부를 체크.
○ 미확인/출처 불분명 이메일은 악성코드로 인한 감염이 우려되므로 확인하지 않고 삭제하는 게 좋음.
○ 정품 프로그램을 사용하고, 수시로 보안패치를 업그레이드해야 악성코드 감염피해를 막을 수 있음.
○ 악성코드로 의심되는 파일을 발견한 경우, 한국인터넷진흥원 등 관련기관에 즉시 신고하여 추가 피해를 예방.