박현준 경찰청 첨단안보수사계장이 7일 북한 악성 이메일 발송 수사 결과 발표를 하고 있다.
경찰청 국가수사본부는 7일 북한 해킹조직이 국내 안보 분야 주요 관계자 150명에게 악성 이메일을 보낸 사실을 확인했다고 밝혔다. 이 중 피해자는 9명으로 3명은 이전 정부 고위공무원이었던 장·차관급이었다.
◇ 尹정부 출범 맞춰 악성 메일 발송
경찰에 따르면 북한 해킹조직은 통일·안보 전문가를 사칭하며 윤석열 정부 출범에 맞춰 작년 4월부터 8월까지 전현직 고위 공무원, 대학 교수, 외교통일안보국방 전문가 등 150명에게 피싱 사이트 접속을 유도하고 계정정보를 탈취하는 악성 이메일을 발송했다.
각 서버는 악성 메일 발송, 피싱 사이트 구축, 탈취 정보 전송 등 기능별로 구분돼 있었다. 수사기관의 추적을 피하고 한 번에 발각되지 않기 위한 수법으로 풀이된다.
이메일에 속아 피싱 사이트에 접속하면서 자신의 아이디와 비밀번호를 입력한 피해자는 현재까지 총 9명으로 확인됐다. 이 중 전·현직 공무원이 4명이었고, 학계 전문가 4명, 기자 1명이 피해를 본 것으로 나타났다. 하지만 민감한 정보는 탈취되지 않았다.
박현준 경찰청 첨단안보수사계장은 “이전 정부에 장차관급으로 근무했던 3명과 현직 공무원은 1명이 피해를 입었다”며 “민감한 자료나 기밀 등의 정보는 탈취되지 않았다”고 설명했다.
북한 해킹조직은 이들의 이메일 송수신을 실시간 확인하면서 첨부 문서와 주소록 등을 빼간 것으로 나타났다.
그 다음 피해자가 회신 전자우편을 보내면 ‘절반의 성공’으로 판단하고 다시 답장을 보내면서 대용량 문서파일을 다운로드하게 유도했다. 이후에는 보안 강화를 이유로 문서파일을 열기 위한 인증이 추가로 필요하다면서 가짜 피싱 사이트로 연결했다. 이때 피해자가 아이디와 비밀번호를 입력하면 계정정보를 탈취했다.
목적을 달성한 피해자에게는 감사 메일을 발송해 의심까지 차단했다. 피해자 중에는 악성 전자우편을 받은 사실을 전혀 인지하지 못한 사례도 있었다.
북한 해킹메일 범죄 개요도.(경찰청 제공)
◇ 북한 해킹조직 ‘김수키’ 소행 유력…가상자산 탈취 시도도
이번 사건은 경찰청이 국가정보원 국가사이버안보센터와 공유해 피해를 인지하면서 시작됐다.
경찰은 사건의 주범을 김수키(Kimsuky) 등으로 명명되는 북한 해킹조직의 소행으로 판단하고 있다. 공격에 사용한 IP주소, 경유지 구축 방법, 북한식 어휘·문구, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등이 김수키 수법과 유사해서다.
서버는 취약한 곳을 골라 활용한 것으로 나타났다. 박 계장은 “국내 서버 중 영세하거나 보안이 매우 취약한 서버들을 1차적으로 우선 해킹한 다음에 그 곳을 경유해서 공격하는 경우가 많았는데 일종의 IP세탁을 한 것”이라고 설명했다.
경찰은 피해자·소속기관에 피해 사실 통보, 피싱 사이트 차단, 공격수법 등 관련 정보 유관기관 공유 등 피해 보호 조치를 완료했다.
김수키 등 북한 해킹조직은 정보 탈취에 집중하는 것으로 알려졌지만 이번 수사에서 이들이 사용한 가상자산 지갑 주소가 발견돼 금전 탈취도 시도한 것으로 보인다.
박 계장은 “가상자산 지갑에서는 100만원대의 액수가 확인되고 있는데 수사를 더 진행 중”이라고 설명했다.
경찰청은 “안보 분야 관계자를 대상으로 한 해킹 시도가 계속될 것으로 전망된다”며 “비밀번호의 주기적 변경, 인증 설정 강화 등 보안 조치를 강화해야 한다”고 말했다.
(서울=뉴스1)