외교원 직원-기자 등으로도 속여 안보전문가 892명에 피싱 메일 49명 외교자료-주소록 등 유출 경찰 “中企 13곳 해킹, 돈 요구도”
“안녕하세요. 태영호 의원실 비서입니다. 바쁘신 중에도 저희 세미나를 함께 해주셔서 감사했습니다. 사례비 지급의뢰서를 작성해 회신해 주시면 감사하겠습니다.”
올 5월 태영호 국민의힘 의원실 비서를 사칭한 해킹 시도 e메일 본문 중 일부다. 경찰은 수사 결과 이 같은 수법으로 국내 외교안보 전문가들의 e메일을 해킹했던 주체가 북한 정찰총국 산하 해커그룹 ‘김수키(Kimsuky)’로 밝혀졌다고 25일 발표했다.
○ 세미나 참석자에게 “사례비 지급” 속여
경찰청 국가수사본부에 따르면 김수키는 올 4∼10월 국립외교원 관계자, 20대 대통령직인수위원회 출입기자 등을 사칭하며 통일 외교 안보 국방 전문가 892명에게 악성 프로그램이 숨겨진 e메일을 보냈다. 경찰 관계자는 “악성 프로그램을 내려받게 하거나 피싱 링크를 포털사이트 로그인 화면처럼 꾸며 아이디와 비밀번호를 빼돌리는 수법을 썼다”고 설명했다.
e메일을 받은 전문가 중 49명이 실제로 해킹 피해를 입었다. 김수키는 피해자들의 메일을 실시간으로 감시하면서 첨부된 외교안보 관련 발표 자료 등을 빼돌렸고 주소록도 탈취했다.
김수키는 2014년 한국수력원자력 원전 도면 유출, 2015년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목된다. 2012년경부터 한국과 미국, 일본 등에서 핵 정책이나 대북 제재 등과 관련된 정보를 빼돌려 온 것으로 알려져 있다.
경찰은 이번 e메일 해킹 사건이 과거 김수키가 벌인 사건과 △공격 근원지 인터넷주소(IP주소) △해외 사이트 가입 정보 △경유 서버 침입 수법 등에서 동일하다고 판단했다. 또 해커가 북한 어휘를 사용한 점과 해킹 대상이 외교안보 전문가 등인 점도 북한 소행이란 판단의 근거가 됐다. 경찰 관계자는 “(김수키가) 해킹한 컴퓨터로 백신의 북한 표현인 ‘왁찐’을 인터넷에서 검색한 기록이 확인됐다”고 했다.
김수키는 실제 개최됐던 세미나 참석자들에게 e메일을 보내는 치밀함도 보였다. 경찰은 올 5월 태 의원실이 개최한 ‘윤석열 시대 통일정책 제언’ 행사 참석 전문가 명단을 확보해 이들에게 해킹용 e메일을 보낸 것으로 보고 있다. 태 의원실 관계자는 “세미나에 참석한 전문가들에게 실제 사례비가 지급되는 점을 노려 사칭 메일을 작성한 것으로 보인다”고 했다. e메일로 “회의 때 발언 취지를 요약해 보내 달라”고 요구하는 등 회의 내용을 파악하려 시도한 정황도 드러났다.
○ 기업 해킹해 금전 요구도
범행 과정에서 국내 중소기업에 랜섬웨어를 유포한 뒤 금전을 요구한 사실도 밝혀졌다. 랜섬웨어는 해커가 서버를 장악해 시스템을 마비시킨 뒤 대가를 요구하는 방식의 사이버 공격이다. 경찰 관계자는 “북한 해킹조직이 한국 기업을 상대로 랜섬웨어를 유포한 사실이 드러난 건 이번이 처음”이라고 했다.
김수키는 해킹으로 확보한 26개국 서버 326대를 IP주소 세탁을 위한 경유지로 활용했는데, 이 과정에서 장악한 컴퓨터 중 일부에 랜섬웨어를 감염시킨 뒤 금전을 요구했다고 한다. 경찰에 따르면 국내 중소업체 13곳이 피해를 보았는데 이 중 2곳은 각각 100여만 원 상당의 가상화폐를 해커들에게 송금했다.
경찰 관계자는 “북한의 유사한 시도가 앞으로도 지속될 것으로 예상된다”며 “e메일 암호를 주기적으로 변경하고 2단계 인증을 설정하는 한편 외국으로부터의 접속을 차단하는 등 보안 설정을 강화할 필요가 있다”고 조언했다.
