[단독] 서울시 메일 주소로 피싱메일 보낸 북한 해커…경찰, 시청 압수수색

서울시 누리집에 가입한 시민들의 이메일 계정 중 일부가 북한 해커의 피싱 범죄에 사용된 정황이 드러나 경찰이 압수수색에 나섰다. 과거 시 이메일 계정과 유사한 계정을 이용한 사칭 범죄가 있었지만, 시민 계정이 해킹 대상이 된 것은 이번이 처음이다. 

13일 경찰과 서울시에 따르면 서울경찰청 안보사이버수사대는 이날 오후 서울시청에 대한 압수수색 영장을 집행했다. 경찰은 시 누리집에 가입한 시민 계정이 피싱 계정으로 사용된 사건을 수사 중이다. 시 누리집의 시민 계정은 약 220만개로 알려졌는데, 북한 해커가 이중 일부를 해킹한 뒤 지난 1월 피싱 메일을 무작위 발송한 것으로 경찰은 파악하고 있다. 

경찰 조사 결과 해킹 과정에 사용된 IP 주소는 과거 북한 해커 소행 범행에 쓰인 것과 같은 것으로 드러났다. 경찰은 피싱 메일이 얼마나, 누구를 대상으로 발송됐는지 수사 중이다. 경찰 관계자는 “서울시와 사전 협의해 관련한 데이터를 선별해 압수수색을 진행했다”고 설명했다.

시 누리집의 시민 계정 주소는 ‘@citizen.seoul.kr’로 공무원 등이 주로 쓰는 시의 계정 주소(@seoul.kr)와 다르다. 그러나 두 계정 주소 모두 시의 계정이란 점에서 범행의 대상이 된 것으로 보인다. 시 관계자는 “자세히 보면 아닌 걸 알 수 있지만 시에서 보낸 것처럼 그럴싸하게 이메일을 보낸 것으로 판단하고 있다”며 “메일에 첨부된 파일이나 링크를 누른 사람들의 정보를 탈취하는 방식일 것”이라고 설명했다.

시의 메일이 피싱의 도구로 쓰인 것은 이번이 처음은 아니다. 2017년에도 ‘납세 회피의혹 조사 사전 예고 통지’라는 제목의 시를 사칭한 이메일이 유포된 적 있다. 당시 ‘서울시청 38세금징수과’를 사칭해 발송된 메일을 보면 전자상거래를 통한 납세 회피 신고가 제기돼 조사를 실시할 예정이니 서류를 구비하라며 첨부파일 확인을 유도하는 내용이었다. 해당 파일에는 바이러스가 심어져 있었다.

시는 이날 오후 시를 사칭한 피싱메일을 주의하라는 내용의 안내문을 배포했다.

정세진·윤준호 기자