25일 경찰에 따르면 북한 해킹조직은 올해 △4월 20대 대통령직 인수위원회 출입기자 △5월 태영호 국민의힘 의원 비서 △국립외교원 등을 사칭해 총 3차례 피싱메일을 국내 외교안보 전문가들에게 유포했다. 피싱메일을 받은 892명 중 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 외교안보·통일·국방 전문가 49명의 이메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼냈다. 피싱 대상에는 국가기관도 있었지만, 피해를 입은 49명은 대부분 민간연구원이나 대학교수들로 드러났다.
해커들은 추적을 피하기 위해 26개국에 326대의 서버를 무차별 해킹해 인터넷프로토콜(IP) 주소를 세탁하는 경유지로 삼는 치밀함도 보였다.
지난 4월 피해 기자 소속 언론사의 신고를 받고 사건을 접수한 경찰은 태영호 의원실·국립외교원 사칭 등 일련의 사건이 동일범 소행일 가능성에 무게를 두고 수사를 진행했고, 범행 주체로 북한 해킹그룹을 특정했다. 2014년 한국수력원자원 해킹 사건과 2016년 국가안보실 사칭 이메일 발송 사건 등의 범행 주체로 지목된 해킹그룹의 소행이라는 결론이다. 경찰은 이전에도 국내외 민간 보안업체들에서 일명 '김수키(Kimsuky)' 등으로 이름 붙인 이 조직을 수사한 바 있다. 경찰은 △공격 근원지 IP 주소 △해외 사이트 가입 정보 △경유지 침입·관리 수법 △이전 사건과 같은 악성 프로그램 특징 △북한 어휘 사용 △범행 대상이 외교·통일·안보·국방 전문가로 일관된 점 등을 근거로 들었다. 해커조직이 피싱메일을 보낼 때 사용한 경유지 서버에서 '오유(오류)' '왁찐(백신)' 등 북한 단어로 인터넷에서 검색한 기록이 경찰에 포착되기도 했다.
한편 해당 해킹조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 '랜섬웨어'를 국내 기업들에도 유포한 것으로 파악됐다. 사이버 보안이 상대적으로 허술한 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤다.
이 조직은 서버를 정상화해주는 대가로 업체당 130만원 상당의 비트코인을 요구했는데, 업체 2곳이 255만원 상당의 비트코인을 지급했다. 랜섬웨어를 뿌린 뒤 복구를 위해서는 특정 이메일 주소로 협상하도록 요구하는 방식을 썼다. 이규봉 경찰청 사이버테러수사대장은 "북한 해킹조직이 피해자에게 금전을 요구한 이메일 주소를 경찰이 추적 중"이라며 "해외 거래소에 대한 수사도 진행 중"이라고 설명했다.
경찰청은 해킹 공격의 대상이 된 피해자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원, 백신업체와 협력해 피싱 사이트를 차단했다. 경찰은 북한의 이러한 시도가 앞으로도 지속할 것으로 예상된다며 전산망에 대한 접근 통제, 이메일 암호의 주기적 변경과 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부했다.
경찰 관계자는 "피싱 사이트를 발견하면 한국인터넷진흥원 등 유관기관이 정보를 공유해 해당 사이트를 차단하기 때문에 백신을 꼭 사용하고 계정 관리를 철저히 해서 예방해주기를 바란다"고 말했다.
[박홍주 기자]
