북한 연계 해킹 조직 김수키(Kimsuky)가 수년간 '가짜 네이버 로그인' 피싱 수법을 전개한 것으로 드러났다. 이 방식은 과거 복수의 국내 기업 웹사이트에서 발생한 해킹 사건과 유사해 보안 대응을 둘러싼 우려가 다시 제기된다.

10일 정보보안 업계에 따르면 이번 정황은 미국 해킹 전문지 프랙(Phrack)이 공개한 김수키 관련 보고서에서 확인됐다. 보고서에는 김수키가 네이버 로그인 화면과 유사한 피싱 페이지를 설계해 사용자 계정 정보를 탈취한 구체적 경로, 수단, 내부 서버 저장 방식 등이 서술됐다.

이와 유사한 방식은 과거 국내 기업 웹사이트에서도 반복 포착됐다. 과거 한 기업 웹사이트에 접속한 일부 사용자에게는 네이버 로그인 창을 위장한 팝업이 노출됐고 여기에 입력한 계정 정보는 네이버가 아닌 제3의 외부 서버로 전송됐다. 이 외부 사이트는 10여 년 전 등록된 정상 사이트였다.

또 다른 국내 기업 웹사이트에서는 제휴 프로모션 등으로 홈페이지 접속자가 급증한 시점에 맞춰 상단 네이버 로그인 위장 팝업이 삽입됐다. 이 팝업은 최소 3일 이상 노출된 것으로 파악됐다.

문제는 이런 해킹이 웹사이트 내부 데이터베이스(DB)가 아닌 외부 서버로 정보가 전송된 형태로 분류돼 개인정보 유출로 간주되지 않는다는 점이다. 이 때문에 뒤늦게 해킹 사실을 파악한 기업은 이를 개인정보보호위원회에 신고할 필요가 없으며 이용자에 공지할 법적 의무도 없다.

결국 사용자가 계정 정보를 직접 입력했더라도 피해 사실을 인지하지 못한 채 정보가 유출될 수 있다. 해당 계정이 이메일·클라우드·금융 등 다양한 서비스와 연동돼 있으면 2차 피해도 우려된다.