“태영호 의원실입니다” 사칭 메일, 北해킹조직 소행이었다

게티이미지뱅크

국회의원실과 기자 등을 사칭해 국내 외교·안보 전문가들에게 피싱 메일을 대량 유포한 일당이 북한 해킹 조직이었던 것으로 경찰 수사 결과 드러났다.

25일 경찰청 국가수사본부에 따르면 북한 해킹 조직은 지난 4~10월 사이 제20대 대통령직 인수위원회 출입기자와 태영호 국회의원실 비서, 국립외교원을 사칭하며 외교·통일·안보·국방 전문가 892명에게 이메일을 보냈다.

메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부파일이 포함돼있었다. 해당 메일을 받은 이들 중 49명이 실제로 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했는데, 해커 조직은 이들의 송·수신 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다.

북한발 사칭 이메일 유포사건 개도. 경찰청 제공

이들은 국내외에서 무차별 해킹을 벌여 26개국 326대(국내 87대)의 서버 컴퓨터를 장악한 후 사이버테러를 위한 기반을 확보하고, 수사기관을 따돌리기 위한 인터넷 프로토콜(IP) 주소 세탁용 경유지로 이용하기도 했다.

해당 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 랜섬웨어도 유포한 것으로 드러났다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 이번이 처음이다.

이들은 국내 13개 업체 서버 19대를 감염시켜 장악한 뒤 서버를 정상화해주는 대가로 업체당 130만 원 상당의 비트코인을 요구했는데, 대상 업체 가운데 두 곳이 255만 원 상당의 비트코인을 지불한 것으로 파악됐다.

북한 해킹 조직이 보낸 사칭 이메일. 경찰청 제공

경찰은 이번 사이버 공격을 벌인 이들이 과거 국내외 민간 보안업체 사이에서 일명 ‘김수키’(Kimsuky)로 불린 해킹 조직과 동일한 것으로 추정하고 있다. 공격 근원지의 IP주소 등을 분석한 결과 과거 사례와 상당한 관련성이 포착됐다는 것이다. 2014년 한국수력원자력 해킹 사건, 2016년 국가안보실 사칭 이메일 발송 사건도 같은 조직의 소행이라는 게 경찰의 결론이다.

경찰청은 북한의 이런 시도가 앞으로도 지속할 것으로 예상되는 만큼 전산망에 대한 접근통제, 이메일 암호의 주기적 변경과 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부했다. 경찰청 관계자는 “앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적함과 동시에 관계기관과 긴밀히 협력해 피해 방지를 위해 노력할 계획”이라고 강조했다.

김소영 동아닷컴 기자 sykim41@donga.com