국회의원 비서 이메일 알고보니 北해킹

교수 등 49명의 전자우편 감시
일부 업체 서버 랜섬웨어 유포

[아시아경제 조성필 기자] 경찰청 국가수사본부는 올해 국회의원실 비서 등을 사칭한 전자우편에 대한 수사를 벌인 결과 북한 해킹조직 소행인 것으로 확인했다고 25일 밝혔다. 이 조직은 국내외 무차별 해킹으로 26개국 326대(국내 87대) 서버 컴퓨터를 장악, 이를 아이피(IP) 주소 세탁용 경유지로 이용한 것으로 나타났다.

경찰에 따르면 이들은 올해 4월부터 10월까지 세탁한 IP주소를 통해 국회의원실 비서나 기자 등을 사칭해 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 전자우편을 최소 892명의 외교·통일·안보·국방 전문가에게 보낸 것으로 드러났다. 이 가운데 49명은 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 것으로 확인됐다. 해킹조직은 이들 피해자 송·수신 전자우편을 실시간으로 감시해 첨부 문서와 주소록 등을 빼낸 것으로 파악됐다.

경찰은 이번 수사를 통해 북한 해킹조직이 금품 요구 악성 프로그램(랜섬웨어)을 유포한 사실이 국내 최초로 확인됐다고 설명했다. 경찰 관계자는 "장악한 서버 가운데 일부엔 랜섬웨어를 감염시켜 금전을 요구했다"며 "확인된 피해 규모는 국내 13개 업체의 서버 19대"라고 했다.

경찰은 이번 사건을 기존 북한발로 규명된 '한국수력원자력 해킹 사건', '국가안보실 사칭 전자우편 발송사건' 등과 비교해 북한 해킹조직의 소행인 것으로 판단했다. ▲공격 근원지의 IP 주소 ▲해외 사이트 가입정보 ▲경유지 침입·관리 수법 ▲악성 프로그램 특징 ▲북한어휘 사용 ▲범행대상이 외교·통일·안보·국방 전문가 일관된 점 등이 이 같은 판단의 근거가 됐다.

경찰은 소속 기업 등에 피해 사실을 통보하고 한국인터넷진흥원과 백신업체와 협력, 피싱 사이트를 차단한 상태다. 또 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용토록 했다.

경찰은 북한의 이런 시도가 향후 지속될 것으로 보고 전산망에 대한 접근통제, 전자우편 암호의 주기적 변경과 2단계 인증 설정, 다른 국가로부터 접속 차단 등 보안 설정 강화를 당부했다. 경찰 관계자는 "앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적하고 관계기관과 긴밀히 협력해 피해 방지를 위해 노력해 나갈 계획"이라고 밝혔다.

조성필 기자 gatozz@asiae.co.kr