북한 해킹 조직이 기자와 국회의원 비서실 등을 사칭해 외교·통일·안보·국방 분야 종사자들에게 ‘피싱 메일’을 대량 유포하고 이 가운데 49명의 이메일을 감시한 것으로 확인됐다. 8년 전 한국수력원자력을 해킹했던 조직과 같은 조직이다. 전문가들은 북한의 해킹 공격이 무차별적으로 이어질 가능성이 큰 만큼 각별한 주의가 필요하다고 지적했다.
25일 경찰청 국가수사본부에 따르면 올 4월 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보·통일·국방 전문가들에게 무작위로 발송됐다. 5월에는 태영호 국민의힘 의원실 비서 명의, 10월에는 국립외교원을 사칭한 이메일이 발송됐다. 메일을 받은 해당 분야 전문가는 최소 892명에 달한다.
경찰은 이번 사건의 배후로 그동안 국내외 민간 보안업체에서 일명 ‘김수키(Kimsuky)’ 등으로 알려진 북한의 특정 해킹조직과 수법이 유사하다고 결론 내렸다. 최근 잇단 사칭 이메일 해킹 사건 역시 기존 북한발로 규명된 2014년 한국수력원자력 해킹 사건 및 2016년 국가안보실 사칭 이메일 발송사건과 비교해 공격 근원지의 아이피(IP) 주소, 해외 사이트의 가입정보, 경유지 침입?관리 수법, 악성 프로그램의 특징 등이 과거 북한의 해킹 조직의 수법과 같다고 판단했다. 또 해커들이 북한어휘를 사용하고 범행 대상이 외교·통일·안보·국방 전문가로 일관된 점도 이를 뒷받침한다고 경찰은 설명했다.
해킹 조직은 IP주소를 세탁한 뒤 기자·국회의원실 등을 사칭하며 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 이메일을 외교·통일·안보·국방 전문가 892명에게 발송했다. 해커들은 첨부파일 다운로드 영역을 조작해 클릭을 유도했다. 국내의 실제 인터넷 포털과 거의 똑같은 피싱사이트에 접속한 피해자는 다운로드 주소를 클릭해 가짜 로그인 창에 암호를 입력하게 했다. 이때 해커는 계정탈취나 악성코드를 삽입했다.
이 같은 수법에 당한 외교안보 전문가는 교수를 포함해 49명에 달한다. 북한 해커들은 이들의 송·수신 전자우편을 실시간으로 감시하고 첨부 문서와 주소록 등을 빼돌렸다. 피해자 대부분은 국가기관 소속보다 일반 연구기관에 근무하는 대학교수들이었다.
경찰은 이번 수사 과정에서 북한 해킹조직이 국내에서 처음으로 랜섬웨어를 유포한 사실도 발견했다. 확인된 피해규모는 국내 업체 13곳 서버 19대다. 북한 해킹조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 장악하며 사이버테러를 위한 기반을 확보했다고 경찰은 설명했다. 수사기관의 추적을 회피하기 위한 아이피IP 주소 세탁용 경유지로 이용됐다. 경찰 관계자는 “경유지로 사용하던 업체 서버에 북한 해커들이 랜섬웨어를 뿌린 것으로 보인다”라고 설명했다.
전문가들은 북한발 해킹 공격이 무차별적으로 이뤄지고 있는 만큼 사이버보안에 더 신경써야 한다고 제언했다. 이규봉 경찰청 사이버테러수사대장은 “북한 해커들이 해외 경유지를 통해 들어오는 만큼 이에 대한 접속을 차단하게 설정한다든지 이중 인정으로 한다든지 핸드폰 인증이라든지 OPT(일회용 비밀번호)를 주기적으로 변경하는 게 해킹 공격을 막는 데 효과적”이라고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >