네이버 등 똑같은 피싱사이트 개설 가짜 건보안내서 등 보내 클릭 유도 회사원 등 1468명 이메일 계정 빼내 가상자산거래소 접속… 탈취는 실패
북한 정찰총국 산하 해킹조직 ‘김수키(Kimsuky)’가 국내 일반인의 가상자산을 노리고 1400여 명의 이메일 정보를 해킹한 것으로 드러났다. 해킹한 피해자의 계정 정보로 가상자산 거래소까지 접속했지만 2단계 인증은 실패해 가상자산을 실제로 탈취하진 못한 것으로 조사됐다.
● 경찰 “일반인 가상자산 노렸지만 실패”
경찰 조사 결과 김수키는 국내 서버 194대, 43개국 서버 382대 등 총 576대의 서버를 경유해 인터넷주소(IP주소)를 바꾼 뒤 내국인 1468명의 이메일 계정을 탈취했다. 피해자 중에서 외교안보, 국방, 통일 분야의 전·현직 공무원 등 전문가는 57명이었다. 이 중엔 전직 장관급 인사도 한 명 포함된 것으로 전해졌다. 나머지 1411명은 회사원이나 자영업자 등 일반인이었다.
경찰은 지난해 김수키가 외교안보 전문가 등을 위주로 해킹 공격을 감행했던 것과 달리 올해 일반인까지 광범위하게 해킹한 배경에 대해 “가상자산 탈취 목적 때문”이라고 판단했다. 경찰 조사 결과 김수키는 이메일을 해킹해 파악한 피해자 계정 정보를 토대로 가상자산 거래소에 몰래 접속했다. 하지만 휴대전화 인증 등이 필요한 2단계 인증 등 보안 절차를 뚫는 데는 실패해 가상자산 탈취는 못 한 것으로 조사됐다.
김수키는 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램도 관리자 몰래 실행한 것으로 드러났다. 채굴로 탈취한 금액은 100만 원 미만인 것으로 나타났다.
● ‘Navor’, ‘daurn’ 등 피싱용 가짜 사이트 만들어
북한 해킹조직 '김수키(Kinsuky)'가 개인정보를 탈취하려고 만든 가짜 피싱 사이트 화면 캡처. 외관상으로 보면 네이버, 구글, 카카오 등 국내외 포털 사이트 로그인 화면과 구분되지 않는다. 경찰청 제공
또 이들은 주요 포털 사이트 디자인과 똑같은 형식의 피싱 사이트를 만들어 계정 정보를 빼내는 수법을 썼다. 인터넷주소(URL)에는 언뜻 보면 국내 포털 사이트 주소와 유사한 ‘Navor(네이버는 Naver)’, ‘daurn(다음은 daum)’ 등을 사용했다. 해당 주소를 클릭해 접속한 가짜 피싱 사이트 외관 역시 실제 포털 사이트와 똑같은 디자인으로 만들어 로그인 정보를 탈취했다.
경찰은 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단했고 김수키 경유 서버 목록 등 관련 정보도 관계기관에 제공했다. 경찰 관계자는 “해킹 피해를 막기 위해선 이메일과 가상자산 거래소 계정 비밀번호를 주기적으로 변경하고 2단계 로그인 인증이나 일회용 비밀번호 생성기(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해야 한다”고 당부했다.
앞서 김수키는 지난해 4∼10월 국립외교원 관계자, 20대 대통령직인수위원회 출입기자 등을 사칭해 통일 외교 안보 국방 전문가 892명에게 악성 피싱 프로그램이 숨겨진 이메일을 보냈다. 당시 이메일을 받았던 전문가 중 49명이 실제로 해킹 피해를 입었다.
김수키는 대남 공작 업무를 총괄하는 북한 정찰총국 소속으로 2014년 한국수력원자력 원전 도면 유출, 2015년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목되는 조직이다.
송유근 기자 big@donga.com