|
이병길 경찰청 사이버테러수사팀장은 지난 23일 오전 11시 서울 서대문구 경찰청에서 브리핑을 열고 “지난 4월부터 10월까지 ‘제20대 대통령직 인수위’ 출입기자를 비롯해 태영호 국민의힘 의원실 비서, 국립외교원을 사칭한 이메일을 수사한 결과, 2013년부터 파악된 북한의 특정 해킹조직의 소행인 것으로 확인했다”고 밝혔다.
경찰에 따르면 북한해킹 조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 컴퓨터를 장악했다. 이들 컴퓨터를 수사기관의 추적을 회피하기 위한 ‘IP 주소 세탁용 경유지’로 이용했다. 이후 북한 해킹조직은 IP 주소를 세탁한 뒤 기자·국회의원실 비서 등을 사칭해 피싱 사이트로 유도하거나 악성프로그램 등이 첨부된 이메일을 외교, 통일, 안보, 국방 전문가 892명에게 발송했다.
이메일을 받은 전문가 중 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 사람은 49명인 것으로 확인됐다. 이들 중 국가기관에 종사하는 사람은 없었으며, 주로 대학교수 및 민간연구기관에 근무하는 연구원들인 것으로 확인됐다. 북한 해킹조직은 이들 피해자의 송·수신 이메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악됐다.
특히 이번 수사 과정에서 북한 해킹조직이 ‘금품 요구 악성 프로그램(랜섬웨어)’을 유포한 사실이 국내에서 최초로 확인됐다. 이들은 장악한 서버 일부에 랜섬웨어를 감염시켜, 해당 프로그램을 복구해주는 대가로 업체에 금전을 요구했다.
이들은 업체마다 약 130만원 상당의 비트코인을 요구했으며, 이 같은 제안을 받은 업체가 13곳에 달하는 것으로 파악됐다. 이 중 2개 업체가 총 255만원(0.051비트코인)을 지급한 것으로 확인됐다. 이 과정에서 중소업체인 한 쇼핑몰은 렌섬웨어에 감염돼 IP 주소 세탁용 경유지로 활용됐던 것으로 드러났다.
|
경찰이 이번 사건을 북한 해킹조직의 소행으로 보는 근거는 총 6가지다. 기존 북한의 소행으로 밝혀진 ‘한국수력원자력 해킹사건(2014년)’ 및 ‘국가안보실 사칭 전자우편 발송사건(2015년)’과 비교하면 △공격 근원지의 IP 주소 △해외 사이트의 가입 정보 △경유지 침입·관리 수법 △악성 프로그램의 특징 등 4가지 측면에서 같다고 판단했다.
나머지 △북한 어휘를 사용하는 점 △범행대상이 외교·통일·안보·국방 전문가로 일관된 점 등을 추가 근거로 보았다. 특히 북한 어휘의 경우, 경유지 컴퓨터를 포렌식(데이터 수집·복구·분석)하는 과정에서 우리말 ‘백신’에 해당하는 어휘가 북한말 ‘왁찐’으로 사용된 기록을 확인했다고 경찰은 설명했다.
경찰청은 피해자와 소속 기업에 피해 사실을 통보했으며 한국인터넷진흥원 및 백신업체와 협력해 피싱 사이트를 차단했다. 또 관계기관에 북한 해킹 조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다.
경찰청은 북한의 이 같은 시도가 앞으로도 지속할 것으로 예상하므로 △전산망에 대한 접근통제 △전자우편 암호의 주기적 변경 및 2단계 인증 설정 △다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부했다.
이 팀장은 “앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지, 추적함과 동시에 관계기관과 긴밀히 협력해 피해 방지를 위해 노력할 계획”이라고 강조했다.