북한이 도메인을 조작한 이메일을 사용한 해킹을 해 온 것으로 알려졌다. 

연방수사국(FBI), 미국 국가안보국(NSA),미국 국무부는 지난 2일 북한이 이메일 설정을 악용한 해킹 사례를 알렸다. 

구글이 인수한 사이버 보안 기업 맨디언트에 따르면 북한은 전문 분야의 저명한 기관을 표적으로 삼고 이메일 주소를 스푸핑했다. 

스푸핑(spoofing)은 영어 단어 눈속임(spoof)에서 파생된 IT 용어다. 직접적으로 시스템에 침입을 시도하지 않고, 피해자가 먼저 링크를 클릭하는 식의 행동을 유도하는 수법이다. 

맨디언트는 북한이 스푸핑을 통해 피해자에게 연락했고, 북한 정권에게 우선순위가 높은 정보를 수집할 수 있었던 것으로 보인다고 밝혔다. 

맨디언트에 따르면 북한 공격자는 서버에 침투하지 않은 채  @google.com, @harvard.edu과 같은 도메인을 사용해 이메일을 보냈다. 

북한 정권은 이렇게 서방 정부의 향후 제재에 대한 정보를 수집하고, 미국과 동맹국의 핵 제지 및 무기화 대응에 관한 지식을 수집해 사전에 대비하는 데에 쓴다. 

이후 목표 대상 조직과 쌓은 신뢰를 이용해 악성 링크나 첨부 문서에 심은 멀웨어를 이메일로 전송하기도 하는 것으로 알려졌다. 

북한이 쓴 스푸핑 기법은 공격자들이 자주 사용하는 기법이지만 쉽게 해결할 수있는 문제다. 

이들이 악용한 설정은 조직이 토글 기능을 사용하거나 환경설정을 바꾸면 방어할 수 있는 간단한 문제기 때문이다. 

개리 프레아스 구글 클라우드 맨디언트수석 애널리스트는 “적절한 DMARC 구성 및 SPF/DKIM의 관리는 피싱과 스푸핑을효과적으로 방지하는 데 큰 도움이 된다”고 밝혔다.