“태영호 의원 비서입니다” 그 메일, 북한 해커 소행이었다

지난 10월 31일 서울 여의도 국회에서 열린 외교통일위원회 전체회의에서 국민의힘 측 간사로 선임된 태영호 의원이 인사말을 하고 있다. 태 의원은 영국주재 북한 공사 출신으로, 2016년 8월 탈북해 한국으로 망명했다.[사진출처 = 연합뉴스]

국회의원실 비서와 대통령직 인수위원회(인수위) 등을 사칭해 국내 외교안보 분야 전문가들에게 악성 프로그램 등이 담긴 전자우편(이메일)을 보낸 것이 북한 해커의 소행인 것으로 드러났다.

25일 경찰청에 따르면 지난 4월 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보·통일·국방 전문가들에게 무작위로 보내졌다.

올 5월에는 태영호 국민의힘 국회의원실 비서 명의로, 10월에는 국립외교원을 사칭한 메일이 뿌려졌다. 메일을 받은 해당 분야 전문가는 최소 892명에 이른다.

경찰에 따르면 북한 해킹조직은 국내외 무차별 해킹을 통해 26개국 326대의 서버 컴퓨터를 장악해 사이버 테러에 필요한 기반을 확보했다. 이 중 국내 서버 컴퓨터는 87대였다. 이 컴퓨터들은 수사기관의 추적을 피하기 위한 아이피(IP) 주소 세탁용 경유지로 쓰였다.

해당 조직은 IP 주소를 세탁한 뒤 기자·국회의원실 등을 사칭해 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 e메일을 외교·통일·안보·국방 전문가 등 최소 892명에게 발송했다.

경찰청

이메일을 받은 전문가 중 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 사람은 49명인 것으로 확인됐다. 이들 중 국가기관에 종사하는 사람은 없었고, 주로 대학교수 및 민간연구기관에 근무하는 연구원들인 것으로 확인됐다. 북한 해킹조직은 이들 피해자의 송·수신 이메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악됐다.

경찰은 이번 수사로 북한 해킹조직이 금품 요구 악성프로그램(랜섬웨어)을 유포한 사실이 국내 최초로 확인됐다고 밝혔다. 이들은 장악한 서버 중 일부를 랜섬웨어에 감염시켜 금전을 요구했으며, 확인된 피해 규모는 국내 13개 업체 서버 19대에 이른다.

해킹그룹을 업체마다 평균 130만원 상당의 비트코인을 요구했으며, 이 같은 제안을 받은 업체가 13곳에 달하는 것으로 파악됐다. 이 중 2개 업체가 총 255만원(0.051비트코인)을 지급한 것으로 확인됐다.

경찰청 등 정부기관은 앞서 국내외 민간 보안업체가 일명 김수키(Kimsuky)’ 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했다. 정부는 과거 북한발로 규명된 ‘2014년 한국수력원자력 해킹 사건’이나 ‘2016년 국가안보실 사칭 전자우편 발송사건’과 비교분석한 끝에 이번 사건도 북한 해킹조직 소행으로 판단했다.

사진출처 = 경찰청

경찰이 이번 사건을 북한 해킹조직의 소행으로 보는 근거는 총 6가지다. 기존 북한의 소행으로 밝혀진 ‘한국수력원자력 해킹사건(2014년)’ 및 ‘국가안보실 사칭 전자우편 발송사건(2015년)’과 비교하면 △공격 근원지의 IP 주소 △해외 사이트의 가입 정보 △경유지 침입·관리 수법 △악성 프로그램의 특징 등 4가지 측면에서 같다고 판단했다.

이어 △북한 어휘를 사용하는 점 △범행대상이 외교·통일·안보·국방 전문가로 일관된 점 등을 추가 근거로 보았다. 특히 북한 어휘의 경우, 경유지 컴퓨터를 포렌식(데이터 수집·복구·분석)하는 과정에서 우리말 ‘백신’에 해당하는 어휘가 북한말 ‘왁찐’으로 사용된 기록을 확인했다고 경찰은 설명했다.

경찰은 피해자와 소속 기업에 피해 사실을 통보하고, 한국인터넷진흥원 및 백신업체와 협력해 피싱 사이트를 차단했다. 또 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다.

경찰 관계자는 “북한의 이러한 시도가 앞으로도 지속할 것으로 예상되므로 전산망에 대한 접근통제, 전자우편 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부한다”고 말했다.