뉴스 트렌드 생활정보 International edition 매체

“제 논문에 코멘트 좀”…北 ‘김수키’ 안보 전문가 150명 해킹 시도

입력 | 2023-06-07 12:21:00


박현준 경찰청 첨단안보수사계장이 7일 북한 악성 이메일 발송 수사 결과 발표를 하고 있다.

북한 정찰총국 산하 해킹 조직인 일명 ‘김수키(Kimsuky)’가 국내 안보 분야 관계자들에게 악성 이메일을 보내 해킹을 시도한 것으로 확인됐다. 일부는 실제 계정정보를 탈취당했지만 다행히 민감한 자료가 넘어가진 않은 것으로 파악됐다.

경찰청 국가수사본부는 7일 북한 해킹조직이 국내 안보 분야 주요 관계자 150명에게 악성 이메일을 보낸 사실을 확인했다고 밝혔다. 이 중 피해자는 9명으로 3명은 이전 정부 고위공무원이었던 장·차관급이었다.

◇ 尹정부 출범 맞춰 악성 메일 발송
경찰에 따르면 북한 해킹조직은 통일·안보 전문가를 사칭하며 윤석열 정부 출범에 맞춰 작년 4월부터 8월까지 전현직 고위 공무원, 대학 교수, 외교통일안보국방 전문가 등 150명에게 피싱 사이트 접속을 유도하고 계정정보를 탈취하는 악성 이메일을 발송했다.

이들은 해킹으로 국외 102개, 국내 36개 등 138개 서버를 장악해 해킹 공격을 위한 기반을 확보했다.

각 서버는 악성 메일 발송, 피싱 사이트 구축, 탈취 정보 전송 등 기능별로 구분돼 있었다. 수사기관의 추적을 피하고 한 번에 발각되지 않기 위한 수법으로 풀이된다.

이메일에 속아 피싱 사이트에 접속하면서 자신의 아이디와 비밀번호를 입력한 피해자는 현재까지 총 9명으로 확인됐다. 이 중 전·현직 공무원이 4명이었고, 학계 전문가 4명, 기자 1명이 피해를 본 것으로 나타났다. 하지만 민감한 정보는 탈취되지 않았다.

박현준 경찰청 첨단안보수사계장은 “이전 정부에 장차관급으로 근무했던 3명과 현직 공무원은 1명이 피해를 입었다”며 “민감한 자료나 기밀 등의 정보는 탈취되지 않았다”고 설명했다.

북한 해킹조직은 이들의 이메일 송수신을 실시간 확인하면서 첨부 문서와 주소록 등을 빼간 것으로 나타났다.

공격은 4단계로 진행됐다. 먼저 교수나 연구원을 사칭해 책자 발간이나 논문 관련 의견을 요청하면서 자연스러운 접근을 시도했다. 언론사 기자를 사칭해 인터뷰나 자료를 요청하기도 했다.

그 다음 피해자가 회신 전자우편을 보내면 ‘절반의 성공’으로 판단하고 다시 답장을 보내면서 대용량 문서파일을 다운로드하게 유도했다. 이후에는 보안 강화를 이유로 문서파일을 열기 위한 인증이 추가로 필요하다면서 가짜 피싱 사이트로 연결했다. 이때 피해자가 아이디와 비밀번호를 입력하면 계정정보를 탈취했다.

목적을 달성한 피해자에게는 감사 메일을 발송해 의심까지 차단했다. 피해자 중에는 악성 전자우편을 받은 사실을 전혀 인지하지 못한 사례도 있었다.

북한 해킹메일 범죄 개요도.(경찰청 제공)


◇ 북한 해킹조직 ‘김수키’ 소행 유력…가상자산 탈취 시도도

이번 사건은 경찰청이 국가정보원 국가사이버안보센터와 공유해 피해를 인지하면서 시작됐다.

최초 수사에 착수한 제주경찰청 첨단안보수사계와 경찰청 안보수사국·국정원이 이메일 5800여개를 분석하고 추적했다.

경찰은 사건의 주범을 김수키(Kimsuky) 등으로 명명되는 북한 해킹조직의 소행으로 판단하고 있다. 공격에 사용한 IP주소, 경유지 구축 방법, 북한식 어휘·문구, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등이 김수키 수법과 유사해서다.

서버는 취약한 곳을 골라 활용한 것으로 나타났다. 박 계장은 “국내 서버 중 영세하거나 보안이 매우 취약한 서버들을 1차적으로 우선 해킹한 다음에 그 곳을 경유해서 공격하는 경우가 많았는데 일종의 IP세탁을 한 것”이라고 설명했다.

경찰은 피해자·소속기관에 피해 사실 통보, 피싱 사이트 차단, 공격수법 등 관련 정보 유관기관 공유 등 피해 보호 조치를 완료했다.

김수키 등 북한 해킹조직은 정보 탈취에 집중하는 것으로 알려졌지만 이번 수사에서 이들이 사용한 가상자산 지갑 주소가 발견돼 금전 탈취도 시도한 것으로 보인다.

박 계장은 “가상자산 지갑에서는 100만원대의 액수가 확인되고 있는데 수사를 더 진행 중”이라고 설명했다.

경찰청은 “안보 분야 관계자를 대상으로 한 해킹 시도가 계속될 것으로 전망된다”며 “비밀번호의 주기적 변경, 인증 설정 강화 등 보안 조치를 강화해야 한다”고 말했다.

(서울=뉴스1)