8년 전 한수원 해킹한 北 조직 이번엔 안보 전문가에 피싱메일

8년 전 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해 외교안보 분야 전문가들에게 이른바 '피싱 메일'을 대량 유포한 정황이 드러났습니다.

경찰청에 따르면 올 4월 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보·통일·국방 전문가들에게 무작위로 발송됐습니다.

5월에는 국민의힘 태영호 국회의원실 비서 명의로, 10월에는 국립외교원을 사칭한 메일이 유포됐습니다.

메일을 받은 해당 분야 전문가는 최소 892명에 달하는 것으로 경찰 수사 결과 드러났습니다.

메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부 파일이 포함돼 있었던 것으로 조사됐습니다.

피싱 사이트는 네이버와 다음 등 포털사이트와 구별이 되지 않을 정도로 정교하게 만들어진 것으로 조사됐습니다.

메일을 받은 전문가 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력해 개인 정보가 넘어간 피해자는 현재까지 49명으로 잠정 집계됐습니다.

피해자는 대부분 민간기관 연구원이나 학계 교수들인 것으로 조사됐습니다.

해커들은 이들의 송·수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐습니다.

추적을 피하기 위해 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대의 경유지 서버를 동원하기도 한 것으로 드러났습니다.

경찰은 이번 해킹 사건은 2014년 한국수력원자력 해킹 사건, 국가안보실 사칭 이메일 발송 사건 등의 범행 주체로 지목된 북한 조직의 소행이라고 결론내렸습니다.

공격 근원지 IP 주소, 해외 사이트 가입 정보, 경유지 침입·관리 수법, 북한 어휘 사용 등 정황과 범행대상이 외교·통일·안보·국방 전문가라는 점 등이 판단의 근거입니다.

북한 해킹 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 '랜섬웨어'도 유포한 것으로 파악됐습니다.

북한 해킹조직이 랜섬웨어를 활용한다는 사실이 경찰 수사로 드러난 건 이번이 처음입니다.

이 조직은 경유지 서버를 활용해 랜섬웨어를 살포한 것으로 조사됐는데, 사이버 보안이 허술한 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤습니다.

특히, 피해를 입은 업체 2곳은 서버 정상화를 대가로 각각 130만원 상당의 비트코인, 모두 255만원 상당의 비트코인을 해킹 조직 측에 지급한 것으로 조사됐습니다.

이규봉 경찰청 사이버테러수사대장은 "북한 해킹조직이 피해자에 금전을 요구한 이메일 가상 주소를 추적하는 동시에 비트코인 해외 거래소에 대한 수사도 진행 중"이라고 말했습니다.

경찰은 북한의 사이버 공격 시도 등에 대비해 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해달라고 당부했습니다.