#2. “태영호 의원실 비서 000입니다. 사례지급의뢰서를 작성해서 회신해주면 다음 주에 사례비를 기안하에 진행하겠습니다”(5월 7일)
올해 국내 외교안보 전문가 892명에게 기자와 국회의원실, 국립외교원(10월 26일)을 사칭해 발송된 e메일의 내용이다. 경찰청 사이버수사국 사이버테러수사대는 25일 “수사 결과, 2013년부터 파악된 북한의 특정 해킹조직 소행으로 확인했다”고 밝혔다. 경찰은 이 조직이 2014년 한국수력원자력을 해킹하는 등 이른바 일명 ‘김수키(Kimsuky)’ 그룹과 같은 곳으로 보고 있다.
피싱 사이트 링크·악성 프로그램 첨부
e메일을 받은 국내 외교안보 전문가 892명 중 첨부된 피싱사이트를 통해 자신의 아이디와 비밀번호를 입력한 사람은 총 49명으로 확인됐다. 북한 해킹조직은 이들 피해자의 송·수신 e메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악된다. 피싱사이트는 국내 포털사이트와 구분이 어려울 정도로 동일하게 만들어졌다고 한다. 49명은 대학 교수 등 주로 민간연구기관 연구자들이고 국가기관은 포함돼있지 않다고 경찰청은 밝혔다. 경찰 관계자는 “대부분 교수분 들이라 학회에서 발표하거나 관련 단체에서 세미나를 할 내용이 나갔고, 이분들과 연락을 주고받는 주소록도 가져갔다”고 말했다.
랜섬웨어 감염시켜 국내 업체 2곳서 비트코인 받아
경찰청은 북한발로 규명된 2014년 한수원 해킹사건, 2016년 국가안보실 사칭 전자우편 발송사건과 비교했을 때 ▶공격 근원지의 IP 주소 ▶해외 사이트 가입 정보 ▶경유지 침입·관리 수법 ▶악성 프로그램 특징 등이 같다고 결론 내렸다. 또한 ▶북한어휘 사용 ▶범행대상이 외교안보 전문가로 일관된 점을 근거로 북한 해킹조직의 소행으로 판단했다. 경찰 관계자는 “해킹한 경유지 컴퓨터로 들어가서 인터넷을 검색할 때 은연중에 자기가 쓰는 북한 어휘를 사용한 게 나왔다”고 덧붙였다. 예를 들어 ‘백신’ 대신 북한말인 ‘왁찐’을 입력하는 식이다. 국내외 사이버보안 전문 업체에 따르면 북한 해킹조직은 김수키, 라자루스(Lazarus), 금성121, APT38 등의 그룹이 활동하고 있다.