치밀한 北해킹조직…26개국 경유하며 ‘이것’ 뜯어갔다

박홍주 기자(hongju@mk.co.kr) 2022. 12. 25. 21:42
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
피싱 사이트로 비밀번호 탈취
민간연구원 49명 정보 빼내가
보안 허술한 중소기업도 타깃
랜섬웨어 심고 비트코인 요구

북한 해킹조직의 피싱메일 유포 사건 개요도 [자료=경찰청]

북한 해킹조직의 피싱메일 유포 사건 개요도 [자료=경찰청]
북한 해킹조직이 국내 외교안보 전문가들의 메일을 해킹해 각종 개인정보와 자료를 빼가는 사건이 벌어졌다. 이 조직은 국회의원과 기자 등을 사칭해 피싱메일을 보내는 방식으로 국내 외교안보·통일·국방 전문가 892명에게 접근해 49명의 정보를 탈취했다. 또 국내 중소업체들에게는 금전을 요구하며 랜섬웨어 공격을 가해 비트코인을 뜯어낸 것으로도 조사됐다.

25일 경찰에 따르면 북한 해킹조직은 올해 △4월 제20대 대통령직 인수위원회 출입기자 △5월 태영호 국민의힘 국회의원 비서△국립외교원 등을 사칭해 총 세 차례 피싱메일을 국내 외교안보 전문가들에게 유포했다. 피싱메일을 받은 892명 중 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 외교안보·통일·국방 전문가 49명의 이메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼냈다. 피싱 대상에는 국가기관도 있었지만, 피해를 입은 49명은 대부분 민간 연구원이나 대학교수들로 드러났다.

피싱메일의 유형은 크게 두 가지로, 첨부파일에 악성 프로그램을 깔아 첨부파일을 여는 순간 해커들이 수신자의 컴퓨터를 장악하는 방식과, 사전에 준비된 피싱 사이트로 수신자를 유도해 로그인하게 만들고 아이디와 비밀번호를 탈취하는 방식이다. 후자의 경우 해커 집단이 탈취한 피해자의 아이디로 이메일에 로그인해 실시간으로 확인하지만, 피해자는 이를 인지하지도 못해 특히 피해가 클 수 있다. 피싱 사이트는 네이버나 다음 등 일반적인 국내 포털 사이트와 구별되지 않을 정도로 정교하게 만들어진 것으로 알려졌다.

해커들은 추적을 피하기 위해 26개국 326대(국내 87대)의 서버 컴퓨터를 무차별 해킹해 인터넷 프로토콜(IP) 주소를 세탁하는 경유지로 삼는 치밀함도 보였다.

지난 4월 사칭 피해 기자 소속 언론사의 신고를 받고 사건을 접수한 경찰은 태영호 의원실·국립외교원 사칭 등 일련의 사건이 동일범 소행일 가능성에 무게를 싣고 수사를 진행했고, 범행 주체로 북한 해킹그룹을 특정했다. 2014년 한국수력원자원(한수원) 해킹 사건과 2016년 국가안보실 사칭 이메일 발송사건 등의 범행주체로 지목된 해킹그룹의 소행이라는 결론이다.

경찰은 이전에도 국내외 민간 보안업체들에서 일명 ‘김수키(Kimsuky)’ 등으로 이름붙인 이 조직을 수사한 바 있다. 경찰은 △공격 근원지의 IP 주소 △해외 사이트의 가입정보 △경유지 침입·관리 수법 △이전 사건과 같은 악성 프로그램의 특징 △북한어휘의 사용 △범행대상이 외교·통일·안보·국방 전문가로 일관된 점 등을 근거로 들었다. 해커 조직이 피싱메일을 보낼 때 사용한 경유지 서버에서 ’오유(오류)‘, ’왁찐(백신)‘ 등 북한 단어로 인터넷 검색을 한 기록이 경찰에 포착되기도 했다.

북한 해킹조직의 태영호 국민의힘 국회의원실 사칭 메일 [자료=경찰청]

북한 해킹조직의 태영호 국민의힘 국회의원실 사칭 메일 [자료=경찰청]
한편 해당 해킹조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ’랜섬웨어‘를 국내 기업들에도 유포한 것으로 파악됐다. 사이버 보안이 상대적으로 허술한 중소 쇼핑몰 등 국내 13개 업체의 서버 19대가 피해를 봤다.

이 조직은 서버를 정상화해주는 대가로 업체당 130만원 상당의 비트코인을 요구했는데, 업체 2곳이 255만원 상당의 비트코인을 지급했다. 랜섬웨어를 뿌린 뒤 복구를 위해서는 특정 이메일 주소로 협상하도록 요구하는 방식을 썼다. 이규봉 경찰청 사이버테러수사대장은 “북한 해킹조직이 피해자에게 금전을 요구한 이메일 주소를 경찰이 추적 중”이라며 “비트코인 해외 거래소에 대한 수사도 진행 중”이라고 설명했다.

경찰청은 해킹 공격의 대상이 된 피해자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원 및 백신업체와 협력해 피싱 사이트를 차단했다. 경찰은 북한의 이러한 시도가 앞으로도 지속할 것으로 예상된다며 전산망에 대한 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부했다.

경찰 관계자는 “피싱 사이트를 발견하면 한국인터넷진흥원 등 유관기관이 정보를 공유해 해당 사이트를 차단하기 때문에 백신을 꼭 사용하고 계정 관리를 철저히 해서 예방해주길 바란다”고 말했다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.