올해 4월부터 기자, 국회의원실, 국가기관으로 가장한 이메일을 유포해 민간인들을 감시하거나 랜섬웨어 공격을 벌여 금품을 뜯어낸 일당이 북한 해킹 조직이었던 것으로 경찰 수사 결과 드러났다.
경찰청 국가수사본부는 올해 4~10월 발송된 ‘제20대 대통령직 인수위원회 출입기자 사칭 이메일’, ‘태영호 국회의원실 비서 사칭 이메일’, ‘국립외교원 사칭 이메일’ 사건 등에 대해 수사한 결과 2013년부터 파악된 북한의 특정 해킹 조직 소행임을 확인했다고 25일 밝혔다.
경찰에 따르면 이 해킹 조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 장악해 사이버테러를 위한 기반을 확보, 이를 수사기관의 추적을 회피하기 위한 아이피(IP) 주소 세탁용 경유지로 이용했다.
이메일을 받은 이들 중 49명이 실제로 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했는데, 북한 해킹조직은 이들의 송·수신 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼낸 것으로 파악됐다.
뿐만 아니라 북한 해킹 조직이 쇼핑몰 등 국내 중소기업체를 상대로 악성 프로그램, 즉 랜섬웨어를 유포한 사실도 경찰 수사에서 처음 확인됐다. 이들은 13개 업체들의 서버를 감염시켜 장악한 뒤 금전을 요구했는데, 이렇게 해 2개 업체로부터 총 255만원 상당의 비트코인을 뜯어낸 것으로 조사됐다.
경찰은 이번 사이버 공격을 벌인 이들이 과거 국내외 민간 보안업체 사이에서 일명 ‘김수키’(Kimsuky) 등으로 불리며 2014년 한국수력원자력 해킹 사건, 2016년 국가안보실 사칭 이메일 발송 사건을 주도했던 해킹 조직과 동일한 것으로 추정하고 있다.
범행대상과 수법, 공격 근원지의 IP주소 등을 분석한 결과 과거 사례와 상당한 관련성이 포착됐다는 것이다.
[서울=뉴시스]