“방첩사 계엄문건 보세요”… ‘자동화’ 시스템 장착한 北 해킹조직, 1만7000명 공격했다

12만6266회 이메일 발송

외교·국방 종사자 주 타깃

북한 어휘 사용 정황 포착

유명 가수 초대장 사칭도

북한이 발송한 사칭 이메일. 사진제공=경찰청 국가수사본부

국군방첩사령부가 작성한 계엄 문건의 내용을 공개하겠다며 우리나라 국방·안보 분야 종사자1만 7000여 명을 상대로 피싱 이메일을 발송한 사건이 북한 해킹 조직의 소행인 것으로 밝혀졌다. 이들은 방첩사의 계엄문건 사칭 외에도 콘서트 티켓·오늘의 운세 등을 무료로 제공하겠다며 교묘하게 실제처럼 꾸며진 이메일을 발송해 수신자 중 100명이 넘는 인원의 계정 비밀번호 등 개인정보를 탈취한 것으로 나타났다.

경찰청 국가수사본부는 15일 서울 서대문구 미근동 국수본 건물에서 브리핑을 열고 ‘방첩사 계엄문건 사칭 전자우편’ 사건에 대한 수사 결과를 발표했다. 국수본 관계자는 “북한 해킹조직은 개인정보 탈취 목적으로 지난해 11월부터 지난 1월까지 1만7744명에게 사칭 전자우편을 총 12만6266회 발송했다”며 “서버와 전자우편 등 관련 자료 분석 결과 북한의 소행이라고 결론을 지었다”고 밝혔다.

경찰은 5가지 근거를 토대로 북한 해킹조직이 해당 이메일을 발송했다고 결론 내렸다. 경찰은 압수한 15개의 서버가 기존 북한발 사건에서 파악된 서버를 재사용했다는 점을 확인했다. 또한 북한이 우리나라의 주요 분야에 대한 정보 탈취를 목적으로 해킹을 자행하는 가운데 이번 사칭 이메일 수신자가 통일·안보·국방·외교 분야 종사자로 특정됐다는 점도 파악했다. 이들은 과거 북한의 해킹 메일 발송 대상에 포함된 이력이 있는 것으로 확인됐다.

이외에도 범행 근원지 IP 주소가 중국과 북한의 접경지역인 요녕성에 할당됐다는 점, 사칭 전자우편을 조직적으로 발송하기 위하여 임대한 서버에서 탈북자와 군 관련 정보를 수집하고 있던 점 등도 북한의 소행임을 입증할 근거가 됐다.

특히 경찰은 해당 서버에서 이뤄진 코딩에 달린 주석에서 북한식 IT 어휘가 다수 발견됐다고 전했다. 우리나라에서 통상 쓰이는 ‘포트’라는 단어 대신 ‘포구’라는 어휘가 사용된 정황이 포착됐다. ‘동작’은 ‘기동’으로, ‘페이지’는 ‘페지’로 쓰기도 했다. 모니터 디스플레이 출력을 의미하는 ‘현시’라는 단어 또한 우리나라가 아닌 북한에서 주로 사용되는 용어다. 경찰은 통일연구원에서 발간한 자료를 바탕으로 북한식 어휘를 골라냈다.

전자우편 발송은 해외 업체를 통해 임대한 서버 15대에서 자체 제작한 전자우편 발송용 프로그램을 통해 이뤄졌다. 북한의 기존 해킹 방식은 수신자를 특정해 이메일을 하나하나 수작업으로 작성해 발송하는 형태였다. 그러나 해당 프로그램은 자동화 기능을 갖추고 있으며 자우편이 발송되는 시점부터 수신자의 열람·피싱 사이트 접속·계정정보 획득 등의 여부를 포함한 통계자료를 한눈에 파악할 수 있는 기능도 포함된 것으로 알려졌다.



이들이 사칭한 전자우편의 종류 또한 다양해졌다. 과거에는 북한 신년사 분석과 전망 등 북한에 관심을 가지고 있는 사람들을 타깃으로 하는 사칭 메일이 유행했다면 이번에는 방첩사 계엄문건의 첨부 사례 54건을 비롯해 유명 가수의 콘서트 관람권 초대장, 세금 환급, 오늘의 운세, 건강정보 등을 제공할 것처럼 위장하기도 했다. 실제 유명 가수의 콘서트 포스터나 세금 환급 사이트와 똑같은 형태의 이미지가 사용되기도 했다. 전자우편 주소는 공공기관을 연상케 하거나 지인의 전자우편 주소와 유사한 형태였다.

사칭 전자우편에는 피싱 사이트로 바로 연결되는 링크가 포함돼 있었으며 일부 메일에는 해킹 파일이 첨부돼있기도 했다. 바로가기 링크를 누르면 포털사이트 아이디와 비밀번호를 요구하는 사칭 사이트로 연결된다. 피해자가 로그인을 위해 아이디와 비밀번호를 입력하면 북한 해킹조직이 소유한 서버에 내용이 저장되고, 해킹 조직은 이를 이용해 사용자의 이메일에 있는 정보를 탈취하는 방식으로 범행을 계획했다.

해킹조직의 서버 기록을 분석한 결과 1만7744명에게 30개 유형으로 모두 12만6266회 사칭 전자우편이 발송됐다. 수신자 중 120명은 실제 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력해 겨정정보와 보관함에 저장된 전자우편과 연락처 정보를 탈취당하는 피해를 입었다. 다만 이번 사건의 경우 국가 기밀 등 민감한 정보가 탈취 당하지는 않은 것으로 파악됐다. 금전적 피해도 발생하지 않은 것으로 확인됐다.

북한 해킹조직은 외국 서버에서 우리나라 이메일로 메일을 발송하면 발송지가 외국이라는 점이 드러난다는 점을 감추기 위해 국내 서버를 구매해 해킹을 시도한 것으로 파악됐다. 다만 과거 우리나라 주요 정부기관에 대한 해킹을 감행했던 북한의 해킹조직 김수키나 라자루스, 안다니엘 등의 소행인 지 파악할 수 있는 정보는 찾지 못한 것으로 전해졌다.

경찰은 “발송자가 불분명한 전자우편은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다”며 “이디와 비밀번호 등 중요정보를 입력하기 전, 요구하는 자의 전자우편과 웹사이트 주소를 주의 깊게 살펴보고 전자우편 아이디와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 본인의 접속 이력을 확인해야 한다”고 밝혔다.