북한 해킹조직이 윤석열 정부 출범 기간에 맞춰 전·현직 고위공무원, 외교·통일·안보·국방 전문가 150명에게 악성 전자우편을 보낸 정황이 확인됐다.
7일 경찰청 국가수사본부는 지난해 4월부터 7월까지 안보 분야 주요 관계자를 대상으로 발송된 악성 전자우편 사건을 수사한 결과, 북한 특정 해킹조직 소행으로 확인했다고 밝혔다. 이들은 피싱 사이트 접속을 유도한 뒤 계정 정보를 탈취하는 악성 전자우편을 발송했다. 현재까지 경찰이 파악한 피해자는 총 9명이다.
북한 해킹조직은 국내외 해킹을 통해 138개의 서버를 장악해 해킹 공격을 위한 기반을 확보하고, 추적을 피하기 위해 IP주소를 세탁했다. 이들은 수사기관의 추적을 피하기 위해 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 서버를 구분했다.
이번 사건은 경찰청이 국가정보원과 사이버 위협정보 공유를 통해 피해를 인지한 것이다. 최초 수사에 착수한 제주경찰청과 경찰청 안보수사국, 국정원은 5800여개 전자우편 분석과 추적 수사를 진행해 관계기관 합동으로 피해 보호 조치를 완료했다.
경찰청은 이번 사건을 그동안 국내외 민간 보안업체에서 일명 '김수키(Kimsuky)'등으로 명명한 북한 해킹조직의 소행으로 판단하고 있다. 경찰은 공격에 사용한 IP 주소, 경유지 구축 방법, 북한식 어휘 문구, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 이같이 판단했다고 밝혔다.
경찰은 이번 사건을 수사하며 김수키 해킹 조직이 공격 서버에서 사용한 가상자산 지갑 주소를 발견했다. 금전 탈취도 시도하고 있는 것으로 판단해 추적 수사를 계속 진행하고 있다.
경찰은 북한 해킹조직의 공격 수법이 더욱 치밀해지고 있는 것으로 확인됐다. 안보 분야 오피니언 리더를 사칭하는 사회공학적 방법으로 치밀하게 접근해 공격했다고 분석했다.
먼저 피해자의 입장에서 최대한 자연스러운 접근을 시도한다. 언론 기자를 사칭한 경우에는 인터뷰나 자료를 요청하는 내용으로 정상적인 전자우편을 일차적으로 발송한다. 이후 피해자가 회신 전자우편을 보내면 공격자는 다시 답장을 보내 대용량 문서 파일을 다운로드하도록 유도한다.
공격자는 보안이 강화돼 문서 파일을 열기 위해서는 본인 인증이 필요하다며 가짜 피싱 사이트로 연결하는데, 이때 피해자가 아이디와 비밀번호를 입력하면 계정 정보를 탈취하는 방식이다. 마지막으로, 피해자에게 감사 답장을 발송해 의심을 차단했다.
한편 경찰청은 안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 지속적으로 이어질 것으로 전망하고 전자우편 비밀번호의 주기적인 변경과 보인 인증 설정 강화, 해외 접속 차단, 의심스러운 전자우편 재확인 등 보안 조치를 강화해 달라고 당부했다.
경찰청 관계자는 "앞으로도 국가안보에 위협이 되는 사이버 공격 동향과 대응 사례를 관계기관과 적극적으로 공유하겠다"며 "북한 해킹조직의 불법 사이버 활동에 대한 선제 대응을 강화해나갈 계획"이라고 밝혔다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>