대한민국 국민 1468명 이메일 해킹…알고보니 이 나라 소행, 왜?

민간인까지 공격 대상 확대..탈취 정보 중 기밀자료는 없어
실제 수신자 소속 기관 홈페이지 URL 제작해 넣는 수법도

북한발 악성 이메일 유포 사건 개요도 [자료=경찰청]

대표적인 북한 해킹조직인 ‘김수키’(Kimsuky)가 국내외 500여개의 경유 서버를 장악해 내국인 1400여명의 이메일 계정을 탈취한 것으로 드러났다. 경찰청 국가수사본부는 김수키의 활동 내용을 추적·수사한 결과 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 21일 밝혔다.

김수키는 공격 대상을 외교·안보 분야 공무원 등 안보 전문가뿐 아니라 일반인까지 확대했다. 또 이메일 내용과 아이디, 비밀번호 등 개인정보에 이어 가상자산 탈취까지 시도한 것으로 나타났다.

지난해 해킹 당시 피해자가 49명이었고 외교·안보 분야 전문가만 해당했던 것과 비교하면 공격 대상이 약 30배로 늘었을뿐 아니라 분야도 전방위적으로 확산한 것이다.

피해자는 전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명이 포함됐다. 또 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다.

김수키는 총 43개국의 국내외 서버 576대를 경유하며 IP주소를 바꾼 뒤 정부기관·기자·연구소 등을 사칭해 안내문이나 질의서 등 수신자가 관심을 가질만한 내용으로 위장한 피싱 이메일을 발송했다.

수신자가 이메일에 첨부된 파일을 열람하면 PC 내부의 정보를 유출할 수 있는 악성 프로그램을 심었다. 이렇게 아이디와 비밀번호를 가로채 피해자의 이메일 계정에 접속해 내용을 들여다보고 주소록, 첨부파일 등 자료를 빼냈다.

다만 탈취된 정보 중에 기밀자료는 없는 것으로 확인됐다고 경찰은 전했다.

김수키는 피싱 이메일에 인터넷주소(URL)를 넣어 피해자가 신뢰할 수 있는 기관이나 포털 등을 모방한 가짜 누리집으로 접속을 유도하는 수법도 썼다. 특히 사칭 이메일 수신자가 실제 소속된 기관의 누리집을 제작해 접속을 유도하는 등 수법이 더욱 교묘해진 것으로 파악됐다.

이처럼 해킹 공격 대상이 확대되고 수법이 진화한 이유는 가상자산을 노리고 있기 때문으로 경찰은 분석했다. 김수키는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속해 가상자산 절취를 시도했다. 그러나 엄격한 보안 절차 탓에 실제 빼돌리는 데는 성공하지 못했다.

경찰은 북한 해킹조직으로 인한 피해를 막기 위해 외교부 등 관계기관 및 미국 정부, 유엔 등과 정보를 공유하고 협력하고 있다고 밝혔다.