“태영호 의원실 비서” 사칭 메일…8년전 한수원 해킹한 北 ‘김수키’ 소행

북한 해킹 조직 ‘김수키’가 태영호 국민의힘 의원실 비서를 사칭해 보낸 메일 내용. 경찰청 제공.

“안녕하세요. 태영호 의원실 비서입니다. 바쁘신 중에도 저희 세미나를 함께 해주셔서 감사했습니다. 사례비지급의뢰서를 작성해 회신해주시면 감사하겠습니다.”

올 5월 태영호 국민의힘 의원실 비서를 사칭해 메일을 보낸 일당이 북한 해킹조직인 ‘김수키’(Kimsuky)로 드러났다.

경찰에 따르면 이들은 4~10월 태 의원실 비서 외에도 제 20대 대통령직 인수위원회 출입기자, 국립외교원 관계자 등으로 속여 모두 892명에게 악성 프로그램 등이 담긴 메일을 보냈다. 이들은 국내 정보 수집을 위해 이같은 시도를 한 것으로 전해졌다.
실제 세미나 이름대며 “사례비 지급하겠다”

경찰청 국가수사본부는 이들이 2014년 한국수력원자력 해킹, 2016년 국가안보실 사칭 메일 발송 사건 등을 벌인 조직과 같은 조직이라고 보고 있다.

△공격 근원지 아이피(IP) 주소 △해외 사이트 가입 정보 △경유 서버 침입 및 관리 수법 등이 동일하고 범행 과정에서 북한 어휘를 사용하는 점과 범행 대상이 외교, 안보 전문가 등으로 일관된 점을 근거로 이같은 결론을 내렸다.

수사결과, 메일을 받은 외교안보 전문가 892명 중 49명이 피싱 사이트에 접속해 아이디와 비밀번호 등을 입력했다. 해킹 조직은 이들 피해자의 송수신 메일을 실시간으로 감시해 첨부 문서와 주소록 등을 빼갔다.

경찰 관계자는 “악성 프로그램을 다운받도록 하거나 피싱 링크를 포털 사이트 로그인 화면처럼 꾸며 로그인을 하도록 유도해 아이디와 비밀번호를 탈취하는 방식을 사용했다”며 “이를 바탕으로 사용자의 메일을 실시간 감시해 정보를 빼간 것”이라고 했다.

피싱 조직은 사칭 메일에 실제 개최된 세미나를 명시하는 등 치밀함을 보였다. 경찰은 올해 5월 태 의원실에서 개최한 ‘윤석열 시대 통일정책 제언’ 행사에 참석한 전문가들의 명단을 입수한 것으로 보고 있다. 태 의원실 관계자는 “세미나 이후 보도자료 등을 통해 참석자를 쉽게 파악할 수 있었을 것“이라며 “실제 세미나에 참석한 전문가들에게 20~25만 원 상당의 사례비가 지급되는데, 이 점을 노려 사칭 메일을 작성한 것으로 보인다”고 말했다.

또 사례비 지급 내용과 함께 “발언한 취지를 A4 용지 1장으로 요약해서 보내주면 회의 증빙으로서 큰 도움이 되겠다”는 문구도 포함돼 회의 내용을 파악하려 시도한 정황도 드러났다.

북한 해킹 조직 ‘김수키’ 범행 수법 개요. 경찰청 제공.

기업 등에 랜섬웨어 통해 금전 요구도

범행 과정에서 ‘랜섬웨어’ 프로그램을 유포해 금전을 요구한 정황도 밝혀졌다. 랜섬웨어는 컴퓨터를 해킹에 중요 데이터에 암호를 걸고 사용하지 못하게 한 뒤 금전을 요구하는 수법이다. 북한 해킹조직이 우리나라 국민 또는 기업을 상대로 랜섬웨어를 유포한 사실이 드러난 건 이번이 처음이다.

김수키는 해킹을 통해 확보한 26개 나라 326대 서버 컴퓨터를 IP 주소 세탁을 위한 ‘경유지’로 활용했다. 이렇게 세탁된 IP 주소로 전문가들에게 메일을 보냈다. 이 과정에서 장악한 서버 중 일부에 랜섬웨어를 감염시켜 금전을 요구했다. 경찰에 따르면 국내 중소업체 13곳이 피해를 입었으며 이중 2곳이 가상화폐 계좌를 통해 돈을 지불했다. 피해액은 255만 원 수준이다.

경찰은 공격 대상이 된 피해자와 소속 기업에 피해 사실을 통보하고 한국인터넷진흥원과 협력해 피싱사이트를 차단했다. 또한 관계 기관에 북한 해킹 조직의 침입 수법과 해킹 도구 등 정보를 제공해 정보보호 정책 수립에 활용할 수 있도록 했다. 경찰 관계자는 “북한의 유사한 시도가 앞으로도 지속할 것으로 예상된다“며 ”전산망 접근 통제, 이메일 암호 주기적 변경 및 2단계 인증 설정, 다른 국가로부터 접속 차단 등 보안 설정을 강화해야 한다“고 했다.

조응형 기자 yesbro@donga.com
김기윤 기자 pep@donga.com