국정원은 "북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 특히 '발신자명'과 '메일 제목'을 교묘하게 변형하고 있다"며 "북한이 메일 사용자들이 메일 발송자를 확인할 때 주로 '발신자명'을 보는 점에 착안, 해킹메일 유포시 네이버·카카오(다음) 등 국내 포털사이트를 대부분 사칭하고 있다"고 밝혔다.
또 국정원은 "최근 국내 해킹사고 조사과정에서 확보한 북한 해커의 해킹메일 공격 발송용 계정에는 1만여건의 해킹메일이 들어있었다"며 "이는 또 다른 공격을 위한 것으로 보이며 이 가운데 약 7000개가 네이버·다음 등 국내 포털사이트를 사칭한 메일이었다"고 설명했다.
이어 국정원은 "이 조사 과정에서 해킹 메일이 발송될 국내 가입자 이메일 주소 4100여개도 함께 발견됐다"며 "북한은 해킹메일로 확보한 계정정보를 이용해 메일계정 내 정보를 탈취하고, 메일함 수발신 관계를 분석해 2~3차 공격대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다"고 덧붙였다.
국정원에 따르면 북한이 해킹에 사용한 사칭기관은 네이버가 45%, 카카오(다음)가 23%로 대다수를 차지했다. 메일 발송자명을 '네이버' 'NAVER고객센터' 'Daum게임담당자' 등 '포털사이트 관리자'인 것처럼 위장했다. 발신자 메일주소도 'naver'를 'navor'로, 'daum'을 'daurn'로 표기하는 등 오인(誤認)을 유도했다.
아울러 북한은 '새로운 환경에서 로그인되었습니다' '[중요] 회원님의 계정이 이용제한되었습니다' '해외 로그인 차단 기능이 실행되었습니다' 등 계정 보안에 문제가 생긴 것처럼 제목을 단 해킹메일을 발송했다.
국정원 관계자는 "국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 결국 북한이 대한민국 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻"이라며 "기존 북한의 주요 해킹타깃이었던 전·현직 외교안보 분야 관계자 이외에 대학교수·교사·학생 및 회사원 등도 해킹피해를 보고 있다"고 말했다.
이 관계자는 "북한발 해킹피해를 예방하기 위해서는 메일 열람시 보낸사람 앞에 붙어있는 '관리자 아이콘'(네이버 :, 다음 :), 보낸사람 메일주소, 메일 본문의 링크주소 등 3가지를 반드시 확인해야 한다"며 "메일 무단열람 방지를 위한 '2단계 인증 설정' 등 이메일 보안 강화도 해 달라"고 당부했다.
구체적인 '해킹메일 대응요령'은 국정원 국가사이버안보센터 홈페이지 자료실에서 확인할 수 있다.