ID · PW 입력했는데 북 서버로 '줄줄'…해킹 피해 30배 증가

북한 해킹 조직으로 불리는 일명 '김수키' 세력이 국내 외교 안보 전문가와 일반인들 상대로 저지른 해킹 범행의 피해자 규모가 1천468명으로 집계돼 지난해보다 30배가량 증가한 것으로 경찰 수사 결과 드러났습니다.

경찰청 국가수사본부는 지난 3월부터 10월까지 북한 해킹 조직 '김수키 세력'의 국내 수사기관 및 언론사 등 사칭 후 악성 프로그램 유포 관련 사건을 수사한 결과 1천468명의 피해자가 발생했고 특히 피해자들의 가상자산을 탈취하려 한 정황까지 포착했다고 밝혔습니다.

경찰에 따르면, 김수키 세력은 국내 방송사 A 기자, 국세청 직원, 경찰청 직원이라고 사칭해 이메일을 발송한 뒤 수신자(피해자)로 하여금 호기심을 가질 만한 내용과 링크를 보냈습니다.

해당 수신자(피해자)가 링크를 열람하면 개인 컴퓨터에 '키 로깅' 프로그램 등이 피해자 몰래 설치돼 개인 정보를 빼 가는 방식입니다.

특히 이 '키 로깅' 프로그램은 랜섬웨어와 달리 피해자가 눈치채지 못하게 설치되며 키보드 주요 입력값, 가령 ID나 PW 등 민감한 정보가 북한이 운용하는 해외 경유지 서버로 실시간 전송되는 방식입니다.

이렇게 북한 김수키 세력이 운용하는 해외 경유지 서버는 전 세계 576개(국내 194개)에 달하며 주로 보안이 취약한 중소 업체의 서버를 노린 것으로 드러났습니다.

정보 탈취 외 북한 해킹 김수키 세력의 또 다른 범행 유형으로 적발된 건 피해자들의 가상 자산을 직접 탈취하려 했다는 점입니다.

지난해에는 랜섬웨어 프로그램을 설치해 PC를 먹통으로 만든 뒤 현금 갈취를 협박하는 방식이었는데, 이에 더해 해킹 후 피해자의 가상자산 계좌로 접속해 직접 탈취하려고 시도했다는 점이 눈에 띄었다고 경찰은 설명했습니다.

그 외 해외 경유 서버를 통해 채굴을 실시한 사실도 확인됐습니다.

앞서 경찰은 지난해 12월 북 해킹 조직 김수키 세력이 태영호 의원실과 언론사 기자를 사칭해 피해자 49명을 상대로 랜섬웨어 유포 등을 노리고 범행을 저질렀다는 사실을 발표했습니다.

경찰 관계자는 "일반인의 경우 키 로깅 프로그램 설치 여부를 식별할 수 있는 방법이 간단치 않다"라며 "키 로깅 설치 여부를 판별할 수 있는 백신 프로그램을 사용해야 한다"고 당부했습니다.

(사진=연합뉴스)

배준우 기자 gate@sbs.co.kr