"태영호 의원실입니다"…그 e메일, 북한 해킹조직 소행이었다

#1. “대통령직 인수위원회 출입기자 000입니다. 다음 달 21일 한국에서 개최되는 한미정상회담과 관련해 뉴스 링크를 보내드리오니 ‘댓글’ 부탁드립니다”(지난 4월 28일)
#2. “태영호 의원실 비서 000입니다. 사례지급의뢰서를 작성해서 회신해주면 다음 주에 사례비를 기안하에 진행하겠습니다”(5월 7일)

 올해 국내 외교안보 전문가 892명에게 기자와 국회의원실, 국립외교원(10월 26일)을 사칭해 발송된 e메일의 내용이다. 경찰청 사이버수사국 사이버테러수사대는 25일 “수사 결과, 2013년부터 파악된 북한의 특정 해킹조직 소행으로 확인했다”고 밝혔다. 경찰은 이 조직이 2014년 한국수력원자력을 해킹하는 등 이른바 일명 ‘김수키(Kimsuky)’ 그룹과 같은 곳으로 보고 있다.

태영호 국민의힘 의원실을 사칭해 북한 해킹조직이 국내 외교안보 전문가에게 보내진 e메일. 사진 경찰청

 경찰청에 따르면 북한 해킹조직은 IP 주소를 세탁한 뒤 대통령직 인수위 출입기자와 탈북민 출신의 태영호 국민의힘 의원실 등을 사칭하는 e메일을 발송했다. e메일 안에는 피싱 사이트로 유도하는 링크나 정보 유출 기능의 악성 프로그램이 담긴 문서를 첨부했다.

 e메일을 받은 국내 외교안보 전문가 892명 중 첨부된 피싱사이트를 통해 자신의 아이디와 비밀번호를 입력한 사람은 총 49명으로 확인됐다. 북한 해킹조직은 이들 피해자의 송·수신 e메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악된다. 피싱사이트는 국내 포털사이트와 구분이 어려울 정도로 동일하게 만들어졌다고 한다. 49명은 대학 교수 등 주로 민간연구기관 연구자들이고 국가기관은 포함돼있지 않다고 경찰청은 밝혔다. 경찰 관계자는 “대부분 교수분 들이라 학회에서 발표하거나 관련 단체에서 세미나를 할 내용이 나갔고, 이분들과 연락을 주고받는 주소록도 가져갔다”고 말했다.

대통령직 인수위원회 출입기자를 사칭해 북한 해킹조직이 국내 외교안보 전문가에게 보내진 e메일. 사진 경찰청

 북한 해킹조직은 수사기관의 추적을 피하기 위해 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 탈취한 것으로 나타났다. 탈취한 서버 일부에는 ‘금품 요구 악성 프로그램(랜섬웨어)’을 감염시켜 금전을 요구했다. 확인된 국내 피해 규모는 13개 업체의 서버 19대다. 북한 해킹조직이 랜섬웨어를 유포한 사실이 국내에서 확인된 것은 이번이 처음이다. 13곳 중 2곳은 255만원 상당의 비트코인(0.051BTC)을 지불한 것으로 확인됐다. 경찰은 비트코인 거래가 오간 해외 거래소에 대한 수사를 진행 중이다.

 경찰청은 북한발로 규명된 2014년 한수원 해킹사건, 2016년 국가안보실 사칭 전자우편 발송사건과 비교했을 때 ▶공격 근원지의 IP 주소 ▶해외 사이트 가입 정보 ▶경유지 침입·관리 수법 ▶악성 프로그램 특징 등이 같다고 결론 내렸다. 또한 ▶북한어휘 사용 ▶범행대상이 외교안보 전문가로 일관된 점을 근거로 북한 해킹조직의 소행으로 판단했다. 경찰 관계자는 “해킹한 경유지 컴퓨터로 들어가서 인터넷을 검색할 때 은연중에 자기가 쓰는 북한 어휘를 사용한 게 나왔다”고 덧붙였다. 예를 들어 ‘백신’ 대신 북한말인 ‘왁찐’을 입력하는 식이다. 국내외 사이버보안 전문 업체에 따르면 북한 해킹조직은 김수키, 라자루스(Lazarus), 금성121, APT38 등의 그룹이 활동하고 있다.

 경찰청은 피해자와 소속 기업에 피해 사실을 통보하고, 한국인터넷진흥원 및 백신업체와 협력해 피싱사이트를 차단했다고 밝혔다. 경찰청은 “북한의 해킹 시도가 앞으로도 지속할 것으로 예상한다”며 “전산망에 대한 접근 통제, e메일 암호의 주기적 변경, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해달라”고 당부했다.