북한 해킹조직, 경찰·기자 사칭해 1468명 이메일 해킹…암호화폐 노렸다

북한 해킹조직이 올해에도 정부기관·언론사 등을 사칭한 이메일을 보내 국방·외교 분야 전문가를 비롯해 일반인까지 총 1468명에게 피해를 입힌 것으로 나타났다. 탈취한 개인정보로 피해자의 가상자산(암호화폐)을 노리는 방식으로까지 진화해 각별한 주의가 필요하다.

경찰청 국가수사본부는 지난해 북한 해킹조직의 소행으로 규명한 ‘국회의원실·기자 등 사칭 전자우편(이메일) 발송사건’을 계속 추적·수사한 결과 올해는 일반인을 포함해 1468명이 이메일 계정을 탈취당하는 등의 피해를 입었다고 21일 밝혔다.

피해자 중 외교·통일·국방·안보 분야의 전현직 공무원 등 전문가는 57명이었으며 전직 장관도 포함된 것으로 확인됐다. 이외에도 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다.

일명 ‘킴수키’로 불리는 북한 해킹조직은 경찰청·국세청·건강보험 등 정부기관이나 기자, 연구소 등을 사칭해 안내문이나 질의서 등 수신자가 관심을 가질 수 있는 내용으로 위장한 이메일을 발송하고 있다. 이메일에 첨부된 파일을 열람하면 개인용컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성 프로그램이 설치·실행된다.

이메일에 포함된 인터넷주소(URL)를 누르도록 유인하는 사례도 확인됐다. 이 경우 피해자가 신뢰할 수 있는 기관이나 네이버·카카오 등 포털사이트를 모방한 가짜 홈페이지로 접속을 유도해 계정정보를 탈취했다.

이들은 사칭한 이메일 수신자의 소속기관과 똑같은 형태의 홈페이지를 제작해 접속을 유도하고 피해자별로 특화된 공격을 전개하는 등 더욱 교묘해진 수법을 보였다고 경찰은 설명했다.

지난해 고위 공무원이나 전문가 등에 국한됐던 공격 대상이 전방위로 확산하는 것은 북한 해킹조직이 암호화폐를 노리고 있기 때문으로 분석된다. 북한 해킹조직이 탈취한 피해자 정보를 바탕으로 암호화폐거래소 계정에 부정 접속해 절취를 시도한 사실도 확인됐다. 부정 접속 건수는 19건으로 확인됐지만 다행히 피해는 없었다. 해킹으로 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실도 드러났다.

경찰은 해킹에 사용된 IP(인터넷주소)나 경유지 서버는 물론 악성코드 유형까지 기존 북한 해킹조직이 사용한 것과 유사하다는 점을 근거로 킴수키의 소행으로 판단했다. 경찰은 피해를 예방·저지하기 위해 외교부 등 관계기관, 미국 정부, 유엔 등과 정보를 공유하고 협력 대응하고 있다.

경찰은 북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가 피해가 발생하지 않도록 이메일과 암호화폐거래소 계정의 비밀번호를 주기적으로 변경할 것을 요청했다. 또 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해야 한다고 강조했다. 사칭 이메일에 포함된 피싱 사이트 링크가 정상 홈페이지와 외관이 동일한 만큼 인터넷 주소가 정확한지 확인할 필요가 있다는 설명이다.

(서울=뉴스1)