기밀 자료는 유출되지 않은 것으로 파악
연구원·기자 사칭하며 피싱사이트 접속 유도
연구원·기자 사칭하며 피싱사이트 접속 유도
경찰청 국가수사본부 안보수사국은 안보계 악성 전자우편 사건을 수사한 결과 일명 '김수키(Kimsuky)로 알려진 북한 해킹조직의 소행으로 판단했다고 7일 밝혔다.
이들은 통일·안보 전문가 등을 사칭해 지난해 4월부터 8월까지 전·현직 공무원, 대학교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정 정보를 빼돌리는 악성 전자우편을 발송한 혐의를 받는다. 윤석열 정부의 출범 시기에 맞춰 외교안보 전문가들이 새 정부에 자문하거나 중대한 역할을 맡을 가능성을 고려해 범행을 저지른 것으로 보인다.
피해자는 9명으로 확인된다. 이 가운데 전직 통일외교분야 장·차관 3명과 현직 공무원 1명 등이 포함됐다. 북한 해킹 조직은 피해자들의 이메일 계정에 있던 송수신 메일, '내게 쓴 메일함'에 저장해둔 자료, 지인들의 주소록 등 정보를 탈취했다. 피해 계정에 기밀 자료나 국가 안보와 직결된 정보는 없던 것으로 파악된다.
이들은 교수·연구원, 기자를 사칭해 논문 관련 의견이나 인터뷰 등을 요청하면서 피해자에게 접근했다. 이후 대용량 문서 파일을 다운받도록 유도한 뒤 보안을 위해 본인 인증을 해야 한다고 거짓말했다. 피해자들이 인증을 위해 가짜 피싱사이트에 접속해 아이디와 비밀번호를 입력하자 그 정보를 빼돌렸다.
경찰은 △공격에 사용한 아이피(IP) 주소 △경유지 구축 방법 △메일 내용의 북한식 어휘 문구 △공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 김수키의 소행으로 판단했다.
북한 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개)의 서버를 장악했고 추적을 피하기 위해 아이피(IP) 주소를 세탁했다. 각 서버는 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있어 수사기관의 추적을 피하기 위한 것으로 보인다.
메일에는 '내일'의 준말인 '낼' 대신 두음법칙을 적용하지 않은 북한식 어휘 '래일'의 준말 '랠'이 쓰이거나 '인터뷰에 적합한 분' 대신 '인터뷰에 적중한 분' 등의 표현이 쓰였다.
또 경찰은 이들의 공격 서버에서 이들이 사용한 가상자산 지갑 주소를 발견했다. 가상자산 지갑에는 200만원대 거래내역이 확인됐다. 경찰은 이것이 범죄수익이라는 근거는 발견하지 못해 제재하지 못했으나 이들 조직이 금전 탈취도 시도하고 있는 것으로 보고 수사 중이다.
yesyj@fnnews.com 노유정 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지