'태영호 의원실 비서' 사칭 메일…북한 해킹 조직 소행

최소 892명에 메일 무작위 발송…49명 피해
경유지 서버 통해 랜섬웨어도 살포

현직 기자와 국회의원실 비서 등을 사칭해 국내 외교안보 분야 전문가들에게 '피싱 메일'을 보낸 주체가 8년 전 한국수력원자력을 해킹한 북한 조직의 소행인 것으로 드러났습니다.

오늘 경찰청에 따르면 4월 제20대 대통령직 인수위원회 출입 기자, 5월 태영호 국회의원실 비서, 10월 국립외교원을 각각 사칭한 이메일이 국내 외교안보·통일·국방 전문가들에게 무작위로 발송됐습니다.

북한 해킹 조직이 발송한 피싱 메일 / 사진=경찰청, 연합뉴스

메일에는 피싱 사이트 링크나 악성 프로그램 첨부 파일이 포함된 것으로 나타났습니다.

최소 892명에 달하는 전문가들이 해당 메일을 받았으며, 피싱 사이트에 접속해 아이디와 비밀번호까지 입력한 피해자는 현재까지 49명으로 잠정 집계됐습니다.

해커들은 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대의 경유지 서버를 동원하는 등 치밀함을 보인 것으로 조사됐습니다.

경찰은 4월 피해 기자 소속 언론사의 신고를 접수한 뒤, 일련의 사건이 동일 해커의 소행일 가능성이 크다고 보고 수사에 들어갔습니다.

이후 2014년 한국수력원자력 해킹 사건, 국가안보실 사칭 이메일 발송 사건 등의 범행 주체와 같은 조직의 소행이라고 결론 내렸습니다.

경찰은 근거로 공격 근원지 IP 주소, 해외 사이트 가입 정보, 경유지 침입·관리 수법, 북한 어휘 사용 등의 정황이나 범행 대상이 외교안보·통일·국방 전문가라는 점 등을 들었습니다.

경찰은 국내외 민간 보안업체에서 일명 '김수키(Kimsuky)' 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했습니다.

해당 조직은 경유지 서버를 통해 랜섬웨어도 살포한 것으로 파악됐습니다.

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 금전을 요구하는 악성 프로그램을 말합니다.

경찰은 북한의 사이버 공격 시도가 계속될 것이라면서 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해달라고 당부했습니다.

피싱 사이트 / 사진=경찰청, 연합뉴스

[이연수 디지털뉴스부 인턴기자 dldustn2001@naver.com]