올해 4월부터 기자, 국회의원실, 국가기관으로 가장한 이메일을 유포해 민간인들을 감시하거나 랜섬웨어 공격을 벌여 금품을 뜯어낸 일당이 북한 해킹 조직이었던 것으로 경찰 수사 결과 드러났다.
경찰청 국가수사본부는 올해 4~10월 발송된 ‘제20대 대통령직 인수위원회 출입기자 사칭 이메일’, ‘태영호 국회의원실 비서 사칭 이메일’, ‘국립외교원 사칭 이메일’ 사건 등에 대해 수사한 결과 2013년부터 파악된 북한의 특정 해킹 조직 소행임을 확인했다고 25일 밝혔다.
경찰에 따르면 이 해킹 조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 장악해 사이버테러를 위한 기반을 확보, 이를 수사기관의 추적을 회피하기 위한 아이피(IP) 주소 세탁용 경유지로 이용했다.
이들은 IP주소를 세탁한 뒤, 기자·국회의원실 등을 사칭하며 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 이메일을 외교·통일·안보·국방 분야 교수 등 최소 892명에게 발송한 것으로 조사됐다.
이메일을 받은 이들 중 49명이 실제로 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했는데, 북한 해킹조직은 이들의 송·수신 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼낸 것으로 파악됐다.
뿐만 아니라 북한 해킹 조직이 쇼핑몰 등 국내 중소기업체를 상대로 악성 프로그램, 즉 랜섬웨어를 유포한 사실도 경찰 수사에서 처음 확인됐다. 이들은 13개 업체들의 서버를 감염시켜 장악한 뒤 금전을 요구했는데, 이렇게 해 2개 업체로부터 총 255만원 상당의 비트코인을 뜯어낸 것으로 조사됐다.
경찰은 이번 사이버 공격을 벌인 이들이 과거 국내외 민간 보안업체 사이에서 일명 ‘김수키’(Kimsuky) 등으로 불리며 2014년 한국수력원자력 해킹 사건, 2016년 국가안보실 사칭 이메일 발송 사건을 주도했던 해킹 조직과 동일한 것으로 추정하고 있다.
범행대상과 수법, 공격 근원지의 IP주소 등을 분석한 결과 과거 사례와 상당한 관련성이 포착됐다는 것이다.
경찰청 관계자는 “북한의 이러한 시도가 앞으로도 지속할 것으로 예상되므로 전산망에 대한 접근통제, 전자우편 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부한다”며 “앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적함과 동시에 관계기관과 긴밀히 협력해 피해 방지를 위해 노력할 계획”이라고 강조했다.
댓글 0