‘태영호’ 사칭한 메일… 北해커 ‘김수키’ 소행

악성코드 심고 정보 빼내… 교수·연구원 등 49명 당해

‘안녕하세요. 태영호 의원실 OOO 비서입니다. 어제 세미나를 위해 함께해 주셔서 정말 감사했습니다. 사례비 지급 의뢰서를 작성해 주신 후에 회신해 주시면 감사하겠습니다.’

지난 5월 국내 외교·통일·안보·국방 분야 교수 및 연구원 수십 명은 ‘[태영호 국회의원실 세미나] “윤석열 시대 통일 정책 제언” -감사의 인사’란 제목의 이메일을 받았다. 이메일에는 세미나 참가 사례비를 준다며, ‘사례비_지급 의뢰서.docx’란 파일이 첨부돼 있었다. 하지만 이 메일은 가짜였다. 첨부 파일을 내려받으면 자기도 모르게 해킹 프로그램이 설치되도록 꾸며져 있었던 것이다.

25일 경찰청 국가수사본부는 이 같은 사칭 메일을 보낸 것이 최소 2012년부터 활동해 온 북한 해킹 조직 ‘김수키(Kimsuky)’로 조사됐다고 밝혔다. 이들은 지난 4~10월 국회의원 비서실, 제20대 대통령직 인수위원회 출입기자, 국립외교원 외교안보연구소 등을 사칭하는 이메일을 국내 외교·통일·안보·국방 전문가 892명에게 보내 교묘하게 이들의 개인 정보를 빼내려고 시도한 것으로 조사됐다. 실제 이 해킹 조직은 이 중 49명에 대해서는 이들의 이메일을 실시간으로 들여다보는 등 정보를 빼내는 데 성공한 것으로 나타났다.

경찰은 사칭 메일을 통해 해킹하는 수법을 분석한 결과, 김수키가 저지른 2014년 한국수력원자력 해킹 사건과 2016년 국가안보실 사칭 이메일 발송 사건 등과의 유사점을 여럿 발견했다고 밝혔다.

북한 해킹 조직 김수키는 지난 4월에는 ‘뉴스 댓글 요청’이라는 제목으로 “안녕하세요, OOO 기자입니다”라고 시작하는 이메일을 또 수백 명에게 보냈다. OOO 기자는 실제 당시 대통령직 인수위원회 출입기자였다.

이메일에는 대통령 당선인이 한미 정상회담과 관련해 말한 내용을 쓴 뒤, “국민의 목소리를 경청하고저 초면에 메일 드립니다. 뉴스 링크를 보내드리오니 <댓글> 부탁드립니다”라고 적혀 있었다. ’경청하고자’가 맞는 표현이지만 ‘경청하고저’라고 맞춤법이 틀려 있었다. 또 이메일에 첨부된 이른바 ‘뉴스 링크’를 누르면 포털 사이트 네이버에 로그인하는 것처럼 아이디와 비밀번호를 넣으라는 안내가 나왔다. 실제 여기에 로그인을 하면 아이디와 비밀번호를 김수키 측이 빼내 가는 구조였다.

경찰은 지난 4월 이 피해 기자 소속 언론사의 신고로 수사에 착수했고, 5월 태영호 의원실 비서 사칭 메일까지 이어지자 동일범 소행으로 보고 수사를 해왔다. 이 과정에서 10월에는 국립외교원 사칭 메일이 뿌려진 것도 확인했다. 경찰은 이런 형태의 메일을 받은 892명은 외교·통일·안보·국방 전문가로, 대부분 대학 교수나 민간 연구 기관 연구원이라고 밝혔다. 892명 중 가짜 이메일에 속아 개인 정보가 유출되는 피해를 본 사람은 49명에 달하는 것으로 조사됐다. 피해자 중 정부 소속이거나 공무원은 없는 것으로 알려졌다. 김수키는 이들의 이메일을 실시간으로 들여다보며 주소록과 첨부 문서를 빼 간 것으로 드러났다.

김수키는 사칭 메일을 보내면서 26국에 있는 326대의 서버 컴퓨터를 거치는 등 자신의 접속 위치를 숨기는 수법을 썼다. 이들이 사용한 서버 컴퓨터 역시 김수키 측 해커들이 해킹으로 확보한 것들이었다. 김수키는 또 이 과정에서 일부 서버에 ‘랜섬웨어’ 프로그램을 유포해 원래 각 서버를 운영하는 업체 등 13곳에서 금품을 뜯어내려는 시도도 한 것으로 조사됐다. 인터넷 쇼핑몰 업체 등 보안이 상대적으로 허술한 작은 회사 서버가 대부분이었다. 랜섬웨어는 랜섬(ransom·몸값)과 멀웨어(malware·악성 코드)를 결합한 말로, 컴퓨터 데이터에 암호를 걸어 사용 불능 상태로 만든 뒤 현금이나 가상 화폐를 뜯어낼 때 사용된다. 협박받은 업체 중 실제 돈을 건넨 것은 2곳이었다. 경찰은 “업체 2곳이 비트코인으로 총 255만원가량을 전달한 것으로 조사돼, 금품을 요구하며 보낸 이메일 주소와 비트코인 해외 거래소에 대한 수사도 진행 중”이라며 “국내에서 북한이 랜섬웨어를 활용한 것이 확인된 건 이번이 처음”이라고 했다.

경찰이 이번 사건을 북한 소행으로 결론 내린 주요 증거 중 하나는 김수키 측이 IP를 숨기는 과정에서 사용한 서버에서 ‘왁찐’ 등 북한 어휘로 검색을 한 기록이 드러난 것이다. 경찰은 왁찐이 북한에서 백신을 가리키며 쓰는 표현이라고 했다. 이 밖에 북한 어휘로 검색한 기록이 여럿 발견됐다. 또 공격 근원지의 IP 주소, 경유지 침입·관리 수법, 악성 프로그램 특징 등을 비교한 결과 과거 김수키 측 방식과 동일하거나 유사한 정황이 여럿 발견됐다. 경찰 관계자는 “범행 대상이 외교·통일·안보 등의 분야 전문가로 일관된 점도 북한 소행이란 근거로 봤다”고 말했다.

경찰청은 “북한의 사이버 테러 시도가 늘고 있는 만큼 국민들은 이메일 비밀번호를 주기적으로 바꾸고 2단계 인증 설정을 하는 등 보안 설정을 강화해야 한다”며 “다른 국가로부터의 접속 차단 등 보안 설정을 강화해 달라”고 당부했다.