“코멘트 좀” 北김수키 ‘피싱 메일’에… 前장차관도 털렸다

  • 동아일보
  • 입력 2023년 6월 7일 19시 25분


게티이미지
게티이미지
“교수님이 쓰신 글을 읽는 동안 무릎을 치며 공감했습니다. 제가 쓴 미숙한 글에도 코멘트 부탁드립니다.”

국내의 한 외교안보 전문가는 이 같은 내용의 이메일을 읽고 무심코 발송자가 보낸 대용량 문서 파일을 내려받았다. ‘해킹이 심하다 보니 보안이 강화돼 파일을 열려면 본인 인증을 해야 한다’는 안내에 따라 인증까지 했다. 하지만 해당 메일은 북한 정찰총국 산하 해킹조직인 ‘김수키(kimsuky)’가 보낸 ‘피싱용 이메일’이었다.

● 전직 장차관급 공무원도 털려

7일 경찰청 국가수사본부는 북한 해킹조직 김수키가 윤석열 정부 출범 전후인 지난해 4~7월 전·현직 고위공무원 등 국내 외교안보 전문가들에게 ‘피싱용 이메일’을 보내 해킹한 것으로 파악했다고 밝혔다. 정보 유출 피해를 입은 피해자는 전직 장관급 공무원 2명과 차관급 공무원 1명, 학계 전문가 4명, 현직 간부급 공무원 1명, 언론사 기자 1명 등 9명으로 집계됐다.

경찰에 따르면 김수키는 국내외 서버 138개를 경유하며 인터넷 주소(IP)를 바꾼 뒤 통일‧안보 전문가, 기자 등을 사칭하며 외교안보 전문가 등 150명에게 이메일을 보냈다. 주로 책자 발간이나 논문 관련 조언, 인터뷰 등을 요청했다.

김수키는 “건강 유의하시고 한반도 평화 증진에 애써주셔서 감사드린다”라며 접근한 뒤 대용량 문서 파일을 보내 다운로드를 유도했다. 이후 보안상 절차라며 본인 인증을 하도록 하며 피해자의 컴퓨터에 악성 코드를 심었다. 이어 피해자가 계정 아이디와 비밀번호를 입력하면 해킹조직이 이 정보를 가로채 피해자 이메일 계정에 접속해 자료나 주소록 등을 수개월 동안 수시로 들여다본 것으로 밝혀졌다.

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. 뉴스1
박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. 뉴스1
북한 해커들은 해킹 성공 후에도 “졸고를 꼼꼼히 봐주셔서 감사하다”, “단 몇 글자 주심에도 책 전체가 탈바꿈한 듯하다” 등의 답장을 보내며 의심을 피했다. 이 때문에 경찰이 통보할 때까지 피해를 입었다는 사실을 몰랐던 경우도 있었다. 경찰은 “이메일에 ‘봉사기’(서버), ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘를 사용했고 공격지 IP주소, 경유지 구축 방식 등을 토대로 김수키 소행이라고 판단했다”고 설명했다.

경찰은 해킹조직이 새 정부에서 입각하거나 대북정책 등에 영향을 미칠 수 있는 전문가들을 목표로 해킹을 시도한 것으로 보고 있다. 피해를 입은 장차관 3명은 10, 20년 전 외교부와 통일부에서 장·차관을 지내고 현재는 학계에 몸담고 있다고 한다.

● 北, 3500만 달러 가상화폐도 해킹한 듯

경찰은 이들이 장악한 서버에서 가상화폐 지갑 주소 2개를 발견했는데 해당 지갑에선 200만 원 상당의 거래가 이뤄졌다고 한다. 경찰 관계자는 “금전 탈취 시도가 있었던 건 아닌지 등에 대해 수사를 이어가고 있다”고 밝혔다.

한편 최근 유명 가상화폐 지갑 플랫폼 ‘아토믹 월렛’에서 발생한 3500만 달러(약 455억 원) 규모의 가상자산 탈취 사건 배후에 북한 해킹그룹이 있다는 분석도 나왔다. 데이터분석업체 일립틱은 해당 자산이 북한 해킹그룹 라자루스가 자금 세탁에 주로 사용하는 믹서 플랫폼 ‘신바드’로 이동했다는 자체 조사 결과를 6일(현지 시간) 내놨다. 믹서는 가상화폐를 쪼개고 섞는 기술로, 여러 번 되풀이하면 자금 출처 등을 추적하기가 어려워진다.

앞서 5월 미 재무부는 라자루스의 대규모 해킹 사건에 연루됐던 믹서 ‘블렌더’를 제재했다. 일립틱은 신바드가 블렌더의 변형 버전일 가능성이 높다고 분석했다.

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0