|
북한 해킹조직은 통일·안보 전문가 등을 사칭해 지난해 4~8월 새 정부 출범 기간에 맞춰 전·현직 고위공무원, 대학교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정 정보를 탈취하는 악성 이메일을 발송했다.
이들은 국내외 해킹을 통해 138개(국외 102개·국내 36개)의 서버를 장악해 해킹 공격을 위한 기반을 확보하고, 추적을 피하고자 아이피(IP) 주소를 세탁했다. 각 서버는 악성 이메일 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있었다. 이는 수사기관의 추적을 피하고 한 번에 발각되지 않기 위한 목적으로 판단된다는 게 경찰 측의 설명이다.
피해자는 총 9명으로 확인됐다. 전직 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등은 사칭 이메일에 속아 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했다. 북한 해킹조직은 송수신 이메일을 실시간으로 확인하고 첨부 문서와 주소록 등을 빼 간 것으로 파악됐다.
이번 사건을 수사한 경찰청 안보수사국은 북한 정찰총국 산하 조직인 일명 ‘김수키(kimsuky)’의 소행으로 추정했다. 북한식 어휘 문구인 ‘봉사기’(서버), ‘랠 쯤에’(내일), ‘적중한 분’(적합한 분) 등을 사용한 흔적을 발견했으며, 공격에 사용한 IP 주소를 비롯해 경유지 구축 방법, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점을 근거로 판단했다.
아울러 공격 서버에서 북한 해킹조직이 사용한 가상자산 지갑 주소도 2개 발견했다. 이들 지갑에선 200만원 상당의 거래가 이뤄진 것으로 알려졌다. 그간 ‘김수키’ 해킹조직은 정보 탈취 공격에 집중하는 것으로 알려졌으나 금전 탈취도 시도하고 있는 것으로 판단, 추적 수사를 계속 진행한다는 방침이다.
특히 국수본은 북한 해킹조직의 공격 수법은 4단계에 걸쳐 이뤄지며, 더욱 치밀해지고 있다고 지적했다.
우선 이들은 지난해 새 정부 출범을 전후해 피해자들의 지인과 안보 분야 오피니언 리더를 사칭해 치밀하게 접근을 시도했다. 교수·연구원을 사칭해 책자 발간이나 논문 관련 의견을 요청하거나 언론 기자를 사칭해 인터뷰나 자료를 요청하며, 정상적인 전자우편을 1차적으로 발송하는 식이다.
이어 피해자가 회신했다면 절반의 성공으로, 이들은 다시 답장을 보내 대용량 문서 파일을 내려받도록 유도했다. 그다음으로 보안이 강화돼 문서 파일을 열기 위해서는 본인 인증이 추가로 필요하다며 가짜 피싱 사이트로 연결하는데 이때 피해자가 인증 요구에 응해 아이디와 비밀번호를 입력하면 계정 정보를 탈취하는 식이다. 북한 해킹조직은 탈취한 정보로 전자우편 발신·수신함에 남겨진 정보를 가로채거나 또 다른 해킹 공격에 악용하기도 했다.
게다가 목적을 달성한 북한 해킹조직은 피해자에게 감사 답장을 발송해 의심을 차단했다. 심지어 경찰이 연락하기 전까지 악성 이메일을 받은 사실을 전혀 인지하지 못한 피해자도 있었다.
국수본은 안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 지속적으로 이어질 것으로 전망했다. 국수본 관계자는 “이메일 비밀번호의 주기적인 변경과 본인 인증 설정 강화, 해외 접속 차단, 의심스러운 이메일 재확인 등 보안 조치를 강화해달라”고 당부했다.