"태영호 의원실입니다" 그때 그 메일…北해킹단 소행이었다

신민경 2022. 12. 25. 09:45
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

"태영호 의원실 ○○○ 비서입니다. 번거로우시겠지만, 어제 발언하신 취지를 A4 1장 정도로 요약해서 제게 보내주시면 회의 증빙으로서 큰 도움이 되겠습니다."

8년 전 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해서 외교안보 분야 전문가들에게 '피싱 메일'을 대량 유포한 정황이 드러났다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

사진=경찰청


"태영호 의원실 ○○○ 비서입니다. 번거로우시겠지만, 어제 발언하신 취지를 A4 1장 정도로 요약해서 제게 보내주시면 회의 증빙으로서 큰 도움이 되겠습니다…."

8년 전 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해서 외교안보 분야 전문가들에게 '피싱 메일'을 대량 유포한 정황이 드러났다.

25일 경찰청에 따르면 지난 4월 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보·통일·국방 전문가들에게 무작위로 보내졌다.

올 5월에는 국민의힘 태영호 국회의원실 비서 명의로, 10월에는 국립외교원을 사칭한 메일이 뿌려졌다. 메일을 받은 해당 분야 전문가는 최소 892명에 이른다.

메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부 파일이 포함돼 있었다. 피싱 사이트는 네이버와 다음 등 포털사이트와 구별이 되지 않을 정도로 정교하게 만들어졌다고 경찰은 전했다.

메일을 받은 전문가 가운데 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 현재까지 49명으로 잠정 집계됐다. 대부분 민간기관 연구원이나 학계 교수들이었다.

북한 해킹조직이 활용한 피싱사이트. 사진=경찰청

해커들은 이들의 송·수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 추적을 피하기 위해 인터넷 프로토콜(IP) 주소를 세탁한 뒤 26개국 326대의 경유지 서버를 동원하는 치밀함도 보였다.

올 4월 피해 기자 소속 언론사의 신고를 접수한 경찰은 일련의 사건이 동일 해커의 소행일 가능성이 크다고 보고 수사에 들어갔고, 그 주체로 북한 해킹조직을 지목했다.

2014년 한국수력원자력 해킹 사건, 국가안보실 사칭 이메일 발송 사건 등의 범행 주체로 지목된 같은 조직의 소행이라는 게 경찰의 결론이다.

공격 근원지 IP 주소, 해외 사이트 가입 정보, 경유지 침입·관리 수법, 북한 어휘 사용 등의 정황이나 범행대상이 외교·통일·안보·국방 전문가라는 점 등이 판단 근거가 됐다.

경찰은 국내외 민간 보안업체에서 '김수키'(Kimsuky) 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했던 경험이 있다.

이 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 '랜섬웨어'도 유포한 것으로 파악됐다. 북한 해킹조직이 랜섬웨어를 활용한다는 사실이 확인된 것은 이번이 처음이다.

경찰은 공격 대상이 된 당사자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했다.

경찰은 북한의 사이버 공격 시도가 앞으로도 지속할 것이라면서 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해달라고 당부했다.

신민경 한경닷컴 기자 radio@hankyung.com

해외투자 '한경 글로벌마켓'과 함께하세요
한국경제신문과 WSJ, 모바일한경으로 보세요

Copyright © 한국경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?