北 해커조직, 북한 인권운동가 해킹 공격…국세청 사칭 피싱 메일도

북한 인권 개선 운동을 하는 활동가들에게 북한 인권 분야 유공자로 선정됐다며 포상 절차를 안내하는 이메일을 보내 해킹 공격을 시도한 정황이 포착됐다. 최근 발견된 국세청을 사칭한 피싱 메일도 북한 해커 조직의 소행으로 지목됐다. 

17일 보안업체 이스트시큐리티에 따르면 지난해 연말부터 북한 인권 관련 유공자 포상 대상에 포함됐다는 이메일 안내가 통일 관련 정부 부처 등을 사칭해 배포됐다. 이메일 수신자는 실제 북한 인권 개선 관련 활동을 했거나 연관 정보를 가진 이들이 포함된 것으로 알려졌다. 이용자가 이메일을 열면 포상 행사 참석 신청 등으로 클릭을 유도한 뒤 해킹 공격을 시도한 것으로 조사됐다.

이스트시큐리티는 최근 국세청이 주의를 당부한 세무조사 출석 요구 사칭 사이버 공격 역시 북한 해커 조직이 한 일이라고 밝혔다. 국세청은 지난 12일 홈페이지 공지를 통해 ‘세무조사 출석 요구 안내통지문’을 사칭한 메일을 열지 말고 신고 및 삭제 처리할 것을 당부했다. 이 메일은 비트코인 등 가상 자산 투자자에게 집중 발송된 것으로 분석됐다.

이스트시큐리티 시큐리티대응센터가 국세청을 사칭한 해킹 메일과 공격에 악용된 서버를 분석한 결과 일부 도메인이 북한 연계 해킹 그룹인 ‘탈륨’ 또는 ‘김수키’에서 사용했던 것으로 파악됐다. 김수키는 지난해 5월 국민의힘 태영호 의원 비서관을 사칭한 메일을 보낸 조직이기도 하다.

이스트시큐리티는 “북한 소행으로 지목된 사이버 위협이 공신력 있는 국세청과 정부 부처를 사칭해 연초부터 일어나고 있는 점이 주목할 만하다”며 “해킹 경유지로 사용된 공격자 서버에서는 피싱 공격을 당한 이들의 것으로 보이는 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견돼 개인정보 유출 가능성도 분석 중”이라고 밝혔다.

이진경 기자 ljin@segye.com