北 해커 김수키, 가상자산까지 노린다…"기관 사칭 메일 주의해야"

손의연 기자I 2023.11.21 12:00:00

이메일 계정 탈취 피해자 1468명…1411명이 일반인
가상자산거래소 부정접속 성공 19건
"보안 설정 강화해달라…비밀번호 주기적 변경해야"

[이데일리 손의연 기자] 북한 해커조직 ‘김수키(kimsuky)’가 악성코드나 피싱 사이트 링크가 담긴 전자우편을 발송해 얻은 개인정보로 가상자산 탈취까지 노리는 것으로 확인됐다. 경찰은 기관과 기자를 사칭하는 전자우편을 각별히 주의해달라고 강조했다.

(이미지=경찰청)


경찰청 국가수사본부는 북한 해킹조직이 올해 공격 대상을 일반인까지 확대해 사칭 전자우편을 지속해서 발송하고 있고, 특히 다양한 방법으로 가상자산을 탈취하고 있는 사실을 확인해 주의를 당부한다고 21일 밝혔다.

경찰은 지난해 북한 해킹조직의 소행으로 규명한 ‘국회의원실·기자 등 사칭 전자우편 발송사건’을 계속 추적·수사해왔다.

지난해 랜섬웨어(금품 요구 악성 프로그램)를 유포해 현금이나 가상자산을 요구하는 방식이 주였는데, 올해엔 사칭 전자우편으로 해킹한 개인정보를 이용해 가상자산 거래소 계정에 부정 접속해 절취를 시도한 정황이 포착되는 등 범행수법에 변화가 있었다.

북한 해킹조직은 정부기관·기자·연구소 등을 사칭해 ‘안내문’이나 ‘질의서’ 등 수신자가 관심을 가질 수 있는 내용으로 위장한 전자우편을 발송하고 있다. 전자우편에 첨부된 파일을 열람하면 개인용컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성 프로그램이 설치·실행되는 수법이다.

전자우편에 포함된 인터넷주소(URL)를 누르도록 유인하는 사례도 있다. 피해자가 신뢰할 수 있는 기관이나 정보 망라 누리집(포털사이트)을 모방한 가짜 누리집으로 접속을 유도(피싱)하는 수법으로 계정정보를 탈취하고 있는 것으로 확인됐다.

(이미지=경찰청)
이번 추가 수사를 통해 확인된 전자우편 계정 탈취 피해자는 1468명이었다. 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가는 57명이었고 회사원·자영업자·무직자 등 다양한 직군의 일반인은 1411명이었다.

경찰 관계자는 “북한 해킹조직은 사칭 전자우편 수신자의 소속기관 누리집을 제작하여 접속을 유도하며 피해자별로 특화된 공격을 전개하는등 범행 수법은 더욱 교묘해지고 있다”며 “공격 대상이 이제 특정 분야 종사자에 국한되지 않고 전방위적으로 확산되고 있는 것으로 판단된다”고 설명했다.

북한 해킹조직이 가상자산 탈취를 노리면서 범행대상을 확대한 것으로 분석된다. 해킹으로 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실도 포착됐다.

북한 해킹조직이 가상자산거래소에 접속을 시도해 성공한 사례는 19건이었다. 그러나 송금 과정에서 필요한 2차 인증 등 절차를 뚫지 못해 실제 금전 피해는 없었다.

경찰은 북한 해킹조직이 가상자산 갈취·절취·채굴까지 범행을 다양화함에 따라 피해 방지에 총력대응해나갈 방침이다.

경찰 관계자는 “외교부 등 관계기관, 미국 정부, 유엔 등과 정보를 공유하고 협력 대응하는 등 여러모로 노력을 기울이고 있다”며 “한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고, 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다”고 밝혔다.

또 “북한 해킹조직의 공격이 전방위적으로 확대되는 있는 만큼, 추가적인 피해가 발생하지 않도록 전자우편과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하는 것이 좋다”며 “2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 인터넷주소(IP) 접속 차단 등 보안 설정을 강화해달라”고 당부했다.

(사진=경찰청)


주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지