49명 해킹 피해 "이메일 실시간 감시, 주소록 등 빼내가"

2014년 한수원 해킹과 동일범…오유·왁찐 검색해 '특정'

북한 해킹조직이 국회의원실과 기자 등을 사칭해 국내 외교·안보 전문가 약 900명을 대상으로 해킹을 시도한 것으로 확인됐다. 

특히 해킹 성공 후에는 랜섬웨어를 유포한 후 복구 조건으로 비트코인을 요구하기도 했다. 과거에도 북한의 해킹 시도는 있었지만 금품을 요구한 것은 이번이 처음이다. 

25일 경찰청 국가수사본부에 따르면 북한 해킹조직은 지난 4~10월 사이 '제20대 대통령직 인수위원회' 출입기자와 태영호 국회의원실 비서, 국립외교원을 사칭하며 외교·통일·안보·국방 전문가 892명에게 이메일을 보냈다. 

첨부된 파일을 여는 순간 악성프로그램이 설치되거나 피싱사이트 접속을 유도해 아이디와 패스워드 등을 탈취했다. 

이들은 국내외에서 무차별 해킹을 벌여 26개국 326대(국내 87대)의 서버 컴퓨터를 장악한 후 수사기관을 따돌리기 위한 아이피(IP) 주소 세탁용 경유지로 이용하기도 했다.

피해자는 49명으로 이중 국가기관 소속 전문가는 없었다. 북한 해킹조직은 이들 피해자의 송·수신 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악됐다.

특히 북한 해킹조직이 금품 요구 랜섬웨어를 유포한 사실이 국내에서는 최초로 확인됐다. 랜섬웨어를 감염시킨 후 이를 복구시키는 조건으로 국내 13개 업체, 서버 19대를 대상으로 금전을 요구했다. 이중 두 업체가 비트코인 약 130만원어치를 각각 피해 봤다.

이번 해킹 시도는 2013년 파악된 북한의 특정 해킹조직 소행으로 확인했다. 경찰청 등 정부 기관은 그간 국내외 민간 보안업체에서 일명 '김수키'(Kimsuky) 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했다. 이번 사건 또한 기존 북한발로 규명된 '한국수력원자력 해킹 사건'(2014년) 및 '국가안보실 사칭 전자우편 발송사건'(2016년)과 비교해 유사한 수법이 드러나 북한 해킹 조직 소행으로 판단할 수 있었다.

주요 유사점으로는 △공격 근원지의 아이피(IP) 주소 △해외 사이트의 가입정보 △경유지 침입·관리 수법 △악성 프로그램의 특징 등이 같고 △ 북한어휘를 사용하는 점 △범행대상이 외교·통일·안보·국방 전문가로 일관된 점 등이다.

특히 경찰은 해킹 조직이 이메일을 보내기 위해 해킹해 침투한 경유지 컴퓨터에서 '오류'를 '오유'로, '백신'을 '왁찐'으로 검색하는 등 북한말을 사용한 흔적이 남아있어 특정할 수 있었다.

경찰청은 북한의 이런 시도가 앞으로도 지속할 것으로 예상되는 만큼 전산망에 대한 접근통제, 이메일 암호의 주기적 변경과 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부했다.

경찰청 관계자는 "경찰청은 앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적하겠다"고 말했다.

북한 해킹 조직이 보낸 이메일

기사제공=뉴스1(시애틀N 제휴사)