“태영호 의원실 비서입니다” 사칭 피싱…北 해킹 조직이었다

대통령직 인수위 기자, 국립외교원 등 사칭한 메일 보내
외교안보전문가 메일함 감시, 연락처 등 빼내

국내 외교안보 분야 전문가들에게 기자와 국회의원실 비서 등을 사칭한 ‘피싱 메일’을 대량 유포한 주체가 8년 전 한국수력원자력을 해킹한 북한 조직 ‘김수키’인 것으로 드러났다.

경찰청 국가수사본부(사이버수사국)는 지난 4월 대통령직 인수위원회 출입기자, 지난 5월 태영호 국회의원실 비서, 지난 10월 국립외교원을 각각 사칭해 외교안보, 통일, 국방전문가들에게 발송된 이메일이 모두 ‘김수키’(kimsuky)로 알려진 북한 정찰총국 산하 해킹조직이 벌인 것으로 확인했다고 25일 밝혔다.

경찰청에 따르면 이 같은 사칭 메일을 받은 해당 분야 전문가는 최소 892명에 달했다. 메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부 파일이 포함돼있었다.

피싱 사이트는 네이버와 다음 등 포털사이트와 구별이 되지 않을 정도로 정교하게 만들어진 것으로 전해졌다. 해커들은 추적을 피하고자 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대의 경유지 서버를 동원하는 치밀함도 보였다고 경찰청은 설명했다.

피해자들이 받은 피싱메일. 경찰청 제

실제 피싱 메일을 받아 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 현재까지 49명으로 잠정 집계됐다. 대부분 민간기관 연구원이나 학계 교수들이었다.

해커들은 이렇게 접속한 피해자들의 이메일함을 실시간 모니터링 하고 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다.

경찰은 지난 4월 사칭 피해를 입은 기자 소속 언론사의 신고를 접수해 수사에 착수했다. 이후 벌어진 관련 사건이 같은 해커 소행일 가능성이 크다고 보고 조사한 결과 그 주체로 북한 해킹조직을 지목했다.

경찰은 근원지 IP 주소, 해외 사이트 가입 정보, 경유지 침입·관리 수법, 북한 어휘 사용 등의 정황이나 범행대상이 외교·통일·안보·국방 전문가라는 점 등을 근거로 이들이 2014년 한국수력원자력 해킹 사건 주체로 지목된 조직과 같다고 결론 내렸다.

국내외 민간 보안업체는 북한의 이 특정 해킹 조직을 일명 ‘김수키(Kimsuky)’로 명명한 바 있다.

이 조직은 경유지 서버를 활용해 랜섬웨어도 살포한 것으로 파악됐다. 랜섬웨어는 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 것으로, 사이버 보안이 허술한 중소 쇼핑몰 등 국내 13개 업체가 피해를 봤다. 북한 해킹조직이 랜섬웨어를 활용한다는 사실이 드러난 건 이번이 처음이다.

이들은 피해 업체에 서버를 정상화해주는 대가로 업체당 130만원 상당의 비트코인을 요구했고, 실제 두 곳이 255만원 상당의 비트코인을 지불한 것으로 파악됐다.

이규봉 경찰청 사이버테러수사대장은 “북한 해킹조직이 피해자에 금전을 요구한 이메일 가상 주소를 추적하는 동시에 비트코인 해외 거래소에 대한 수사도 진행 중”이라고 말했다.

경찰은 공격 대상이 된 당사자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했다.

경찰은 북한의 사이버 공격 시도가 앞으로도 지속할 것이라면서 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해달라고 당부했다.

조민영 기자 mymin@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지