(서울=뉴스1) 이기범 기자 = '방첩사 계엄 문건' 사칭 메일로 개인정보 탈취를 시도한 사건을 수사해 온 경찰이 북한 소행으로 결론을 내렸다.
경찰청 국가수사본부는 15일 오전 서울 서대문구 미근동 국수본 건물에서 열린 언론 대상 브리핑을 통해 이 같은 수사 결과를 발표했다.
경찰에 따르면 북한 해킹 조직은 개인정보 탈취 목적으로 2024년 11월부터 2025년 1월까지 사칭 전자우편을 1만 7744명에게 12만 6266회 발송한 것으로 확인됐다. 이 중 120명은 개인정보를 탈취당하는 피해를 당했다.
해킹 조직은 30여종의 다양한 형태로 피싱 메일을 발송했는데, 이 중 '2024년 12월 11일 방첩사 작성한 계엄 문건 공개'라는 제목으로 피싱을 시도한 메일이 지난해 알려지면서 경찰은 수사에 착수했다.
전자우편 발송은 해외 업체를 통해 임대한 서버 15대에서 자체 제작한 이메일 발송용 프로그램을 통해 이뤄졌다.
경찰은 해당 공격자 서버 15대를 압수해 분석하고 단서를 종합한 결과 북한 소행으로 결론을 내렸다.
구체적으로는 △기존 북한발 사건에서 파악된 서버를 재사용 한 점 △사칭 이메일 수신자가 통일·안보·국방·외교 분야 종사자인 점 △범행 근원지 아이피(IP) 주소가 중국과 북한의 접경 지역인 랴오닝성에 할당된 점 △탈북자와 군 관련 정보를 수집하고 있던 점 △인터넷 검색 기록에서 북한식 어휘가 다수 확인된 점 등을 근거로 들었다.
특히 한국에서 쓰는 IT 용어와는 다른 북한식 어휘가 다수 확인됐다. '포트'(Port)는 '포구', '동작'은 '기동', '페이지'(Page)는 '페지'라고 쓰는 식이다.
피싱 메일 유형은 '방첩사 계엄 문건' 사칭 외에도 북한 신년사 분석과 정세 전망으로 위장한 고전적 방식과 함께 유명 가수 콘서트 관람권 초대장, 세금 환급, 오늘의 운세, 건강정보 등 다양하게 이뤄졌다.
주로 메일 내용 중 바로가기 링크를 누르면 포털 사이트 아이디와 비밀번호를 요구하는 피싱사이트로 연결해 개인정보를 탈취하는 수법이었다.
피해자들은 피싱사이트에 접속해 아이디와 비밀정보를 입력해 계정 정보 및 보관함에 저장된 이메일과 연락처 정보를 탈취당했다. 금전 등 추가 피해는 확인되지 않았다.
방첩사 계엄 문건 사칭 이메일은 54건만 확인됐지만, 북한 해킹 조직이 콘서트 초대장 등 다양한 형태로 자동화된 방식의 피싱 메일을 활용한 사례는 이번이 처음이다.
기존에는 북한이 공격 대상자를 특정해 북한 정보에 관심 있는 연구소 등을 대상으로 관련 동향 정보로 위장한 피싱 메일을 보냈다면, 이번에는 기존 대상자들을 포함해 다수를 대상으로 다양한 유형의 내용과 자동화된 형태로 개인정보 탈취를 시도한 점이 특징적이다.
경찰은 피해 예방을 위해 발송자가 불분명한 메일은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다고 당부했다. 또 아이디와 비밀번호 등 중요 정보를 입력하기 전, 메일·웹사이트 주소를 주의 깊게 살펴보라고 강조했다.
김영운 경찰청 사이버테러수사대장은 "기존에는 북한 신년사, 정세 분석 등 북한 관련 정보를 제공하는 척 수작업으로 메일 보냈다면 지금은 대량의 이메일을 보내기 위한 자동화 시스템을 구축했다. 수법이 발전하는 과정으로 보인다"고 말했다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지