기자 사칭 ‘피싱 메일’ 대량 유포… 한수원 해킹했던 北 ‘김수키’였다

조희연 2022. 12. 25. 19:26
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

8년 전 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해 외교안보 분야 전문가들에게 이른바 '피싱 메일'을 대량 유포한 정황이 드러났다.

경찰청 국가수사본부는 올해 4∼10월 발송된 '제20대 대통령직 인수위원회 출입기자 사칭 이메일', '태영호 국회의원실 비서 사칭 이메일', '국립외교원 사칭 이메일' 사건 등에 대해 수사한 결과, 2013년부터 파악된 북한의 특정 해킹 조직 소행임을 확인했다고 25일 밝혔다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
8년 전 한수원 해킹 일명 ‘김수키’
외교안보 전문가 892명에 발송
‘랜섬웨어’ 유포 비트코인도 뜯어

8년 전 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해 외교안보 분야 전문가들에게 이른바 ‘피싱 메일’을 대량 유포한 정황이 드러났다.

경찰청 국가수사본부는 올해 4∼10월 발송된 ‘제20대 대통령직 인수위원회 출입기자 사칭 이메일’, ‘태영호 국회의원실 비서 사칭 이메일’, ‘국립외교원 사칭 이메일’ 사건 등에 대해 수사한 결과, 2013년부터 파악된 북한의 특정 해킹 조직 소행임을 확인했다고 25일 밝혔다.

태영호 국민의힘 의원이 25일 서울 여의도 국회 소통관에서 ‘태영호 의원실’ 사칭 메일 관련 기자회견을 하고 있다. 뉴스1

태영호 국민의힘 의원이 25일 서울 여의도 국회 소통관에서 ‘태영호 의원실’ 사칭 메일 관련 기자회견을 하고 있다. 뉴스1
이들에게 메일을 받은 외교안보·통일·국방 전문가는 최소 892명에 달했고, 이 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 현재까지 49명으로 잠정 집계됐다. 대부분 민간기관 연구원이나 학계 교수들이었다. 해커들은 이들의 첨부 문서와 주소록 등을 빼낸 것으로 파악됐다.

아울러 해당 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ‘랜섬웨어’도 유포한 것으로 파악됐다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 이번이 처음이다. 이들은 13개 업체의 서버를 감염시켜 장악한 뒤 금전을 요구했는데, 2개 업체로부터 총 255만원 상당의 비트코인을 뜯어낸 것으로 조사됐다.

경찰은 이번 사이버 공격을 벌인 이들이 과거 국내외 민간 보안업체 사이에서 일명 ‘김수키’ 등으로 불리며 2014년 한수원 해킹 사건, 2016년 국가안보실 사칭 이메일 발송 사건을 주도했던 해킹 조직과 동일한 것으로 추정하고 있다. 범행 대상과 수법, 공격 근원지의 IP주소 등을 분석한 결과 과거 사례와 상당한 관련성이 포착됐다고 설명했다.

이번 피싱 메일과 관련해 국민의힘 태영호 의원은 “북한 피싱 메일의 정교함에 놀랐다. 처음에는 제 의원실에서 보낸 메일인 줄 알았다”며 “이런 식의 협잡은 더 이상 통하지 않을 것이라고 김정은에게 경고한다”고 밝혔다.

조희연 기자

Copyright © 세계일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
세계일보에서 직접 확인하세요. 해당 언론사로 이동합니다.