태영호 의원실 사칭 메일, 북한 소행

2013년 파악한 북 해킹조직
왁찐·오유 등 북한말에 덜미
랜섬웨어 유포 금전 요구도

지난 5월 태영호 국민의힘 의원실 비서인 것처럼 e메일을 보낸 사칭범이 북한 해킹조직 소속으로 밝혀졌다. 이 조직은 지난 4월에는 제20대 대통령직인수위원회 출입기자를, 10월에는 국립외교원을 사칭한 e메일을 발송했다.

경찰청 국가수사본부는 “이러한 e메일들을 수사한 결과 2013년부터 우리 정부가 파악해온 북한 특정 해킹조직의 소행으로 확인됐다”고 25일 밝혔다.

해당 조직은 IP 주소를 세탁한 뒤 기자·국회의원실 등을 사칭해 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 e메일을 외교·통일·안보·국방 전문가 등 최소 892명에게 발송했다.

피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 피해자는 지금까지 49명이다.

경찰은 이번 수사로 북한 해킹조직이 금품 요구 악성 프로그램(랜섬웨어)을 유포한 사실이 국내 최초로 확인됐다고 밝혔다. 이들은 장악한 서버 중 일부를 랜섬웨어에 감염시켜 금전을 요구했으며, 확인된 피해 규모는 국내 13개 업체 서버 19대에 이른다.

정부는 과거 북한발로 규명된 ‘2014년 한국수력원자력 해킹 사건’이나 ‘2016년 국가안보실 사칭 전자우편 발송 사건’과 비교분석한 끝에 이번 사건도 북한 해킹조직 소행으로 판단했다.

경찰은 공격 근원지 IP 주소, 해외 사이트 가입정보, 경유지 침입·관리 수법, 악성 프로그램의 특징 등을 토대로 이같이 판단했다. 북한 어휘를 사용하는 점, 범행 대상이 외교·통일·안보·국방 전문가로 일관된 점도 근거로 들었다. 경찰 관계자는 “오류를 ‘오유’로 쓴다거나, 백신의 북한 표현인 ‘왁찐’ 등을 이용해 인터넷을 사용한 기록이 확인됐다”고 설명했다.

이유진 기자 yjleee@kyunghyang.com