태영호 “북 피싱 e메일, 나도 우리 의원실서 보낸 줄 알았다”

태영호 국민의힘 의원이 25일 오후 서울 여의 도 국회 소통관에서 ‘태영호 의원실 사칭 메일’ 관련 기자회견을 하고 있다. [뉴스1]

#1. “대통령직 인수위원회 출입기자 000입니다. 다음 달 21일 한국에서 개최되는 한미정상회담과 관련해 뉴스 링크를 보내드리오니 ‘댓글’ 부탁드립니다”(지난 4월 28일)

#2. “태영호 의원실 비서 000입니다. 사례지급의뢰서를 작성해서 회신해주면 다음 주에 사례비를 기안하에 진행하겠습니다”(5월 7일)

올해 국내 외교안보 전문가 892명에게 기자와 국회의원실, 국립외교원(10월 26일)을 사칭해 발송된 e메일의 내용이다. 경찰청 사이버수사국 사이버테러수사대는 25일 “수사 결과, 2013년부터 파악된 북한의 특정 해킹조직 소행으로 확인했다”고 밝혔다. 경찰은 이 조직이 2014년 한국수력원자력을 해킹했던 일명 ‘김수키(Kimsuky)’ 그룹과 같은 곳으로 보고 있다.

경찰청에 따르면 북한 해킹조직은 IP 주소를 세탁한 뒤 대통령직 인수위 출입기자와 탈북민 출신의 태영호 국민의힘 의원실 등을 사칭하는 e메일을 발송했다. e메일 안에는 피싱 사이트로 유도하는 링크나 정보 유출 기능의 악성 프로그램이 담긴 문서를 첨부했다.

태영호 의원실을 가장한 피싱 메일.

e메일을 받은 국내 외교안보 전문가 892명 중 첨부된 피싱 사이트를 통해 자신의 아이디와 비밀번호를 입력한 사람은 총 49명으로 확인됐다. 북한 해킹조직은 이들 피해자의 송·수신 e메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악된다. 49명은 대학교수 등 주로 민간연구기관 연구자들이고 국가기관은 포함돼있지 않다고 경찰청은 밝혔다.

북한 해킹조직은 수사기관의 추적을 피하기 위해 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 탈취한 것으로 나타났다. 탈취한 서버 일부에는 ‘금품 요구 악성 프로그램(랜섬웨어)’을 감염시켜 금전을 요구했다. 확인된 국내 피해 규모는 13개 업체의 서버 19대다. 북한 해킹조직이 랜섬웨어를 유포한 사실이 국내에서 확인된 것은 이번이 처음이다. 13곳 중 2곳은 255만원 상당의 비트코인(0.051BTC)을 지불한 것으로 확인됐다.

경찰청은 북한발로 규명된 2014년 한수원 해킹사건, 2016년 국가안보실 사칭 전자우편 발송사건과 비교했을 때 ▶공격 근원지의 IP 주소 ▶해외 사이트 가입 정보 등이 같고 ▶북한어휘 사용 ▶범행대상이 외교안보 전문가로 일관된 점을 근거로 북한 해킹조직의 소행으로 판단했다. 경찰 관계자는 “해킹한 경유지 컴퓨터로 들어가서 인터넷을 검색할 때 은연중에 자기가 쓰는 북한 어휘를 사용한 게 나왔다”고 덧붙였다. 예를 들어 ‘백신’ 대신 북한말인 ‘왁찐’을 입력하는 식이다.

태영호 국민의힘 의원은 이날 국회에서 기자회견을 열고 “저도 북한 피싱 메일을 읽어보면서 그 정교함에 놀랐다”며 “처음에는 저의 의원실에서 보낸 메일인 줄 알고 보좌진에게 직접 확인까지 했었다”고 밝혔다.

◆백악관 “북, 러 용병 회사에 무기 전달”=존 커비 미국 백악관 국가안전보장회의(NSC) 전략소통조정관은 22일(현지시간) “북한이 지난달 와그너 그룹이 사용할 보병용 로켓과 미사일을 러시아에 전달했다”고 말했다.  와그너그룹은 우크라이나 전쟁에 투입된 러시아 민간 용병 회사다. 커비 조정관은 북한이 전달한 무기가 “우크라이나 전쟁의 양상을 바꾸지는 않을 정도”라면서도 “북한이 추가로 군사 장비를 공급하는 것을 계획하고 있다”고 우려했다.