|
[이데일리 황병서 기자] 북한 해킹조직이 기자, 국회의원실, 공공기관을 사칭해 국내 외교·안보 분야 전문가 등 900여명에게 ‘피싱 메일’을 보낸 정황이 드러나 큰 충격을 주었습니다. 특히 북한 해킹조직은 악성 프로그램(랜셈웨어)을 유포, 감염시켜 국내 중소업체들에 금전을 탈취하기도 했습니다. 국민의 재산 피해가 발생했다는 점에서 앞으로 북한 사이버범죄 수사에 대한 관심이 집중됩니다.
|
경찰청 국가수사본부 사이버수사국은 지난 25일 대통령직인수위원회 출입기자 사칭 이메일(4월28일), 태영호 국회의원 비서 사칭 이메일(5월7일), 국립외교원 사칭 이메일(10월26일) 모두 ‘김수키(kimsuky)’로 알려진 북한 정찰총국 산하 해킹조직이 발송한 것으로 보인다는 수사 결과를 발표했습니다.
경찰에 따르면 해킹조직은 26개국에 흩어진 서버 326대(국내 87대)를 경유하는 방식으로 IP 주소를 세탁한 뒤 국내 외교·통일·안보·국방 전문가 등 최소 892명에게 기자·국회의원실 등을 사칭한 이메일을 보냈습니다. 해당 이메일은 접속자 컴퓨터의 정보를 빼낼 수 있는 피싱 사이트로 유도하거나 악성 프로그램이 첨부된 형태였습니다. 네이버나 구글을 정교하게 본뜬 피싱 사이트에 속아 자신의 아이디와 비밀번호를 입력한 전문가는 현재까지 49명으로 잠정 집계됐습니다.
해킹조직은 이들의 송수신 이메일을 실시간 감시하며 첨부문서와 주소록 등을 훔쳐갔습니다. 또 랜섬웨어를 유포해 국내 업체 13곳의 서버 19대를 감염시키고, 이를 풀어주는 조건으로 금전을 요구한 사실도 확인됐습니다. 이 중 2개 업체가 총 255만원 상당의 비트코인을 해킹조직에 지급한 것으로 파악됐습니다.
특히 △IP 경유지로 쓴 컴퓨터에서 ‘왁찐’(백신의 북한말) 같은 북한말을 사용한 인터넷 검색 흔적이 확인된 점 △범행 대상이 외교 전문가로 일관된 점도 ‘김수키’를 지목하는 근거로 꼽혔습니다. 김수키는 2021년 한국원자력 연구원과 2020년 제약사 해킹공격을 주도한 단체로도 지목됩니다.
|
북한발 사이버 범죄를 단속하는 기관으로는 국가정보원, 국군방첩사령부 등이 있습니다. 경찰 내에선 경찰청 국가수사본부 산하 안보수사국과 사이버수사국이 담당합니다.
이번 북한발 사칭 메일 사건은 처음부터 북한의 소행이라 추정하고 수사를 진행한 것이 아니라고 합니다. 관련 제보가 들어오면서 사이버수사국이 수사하는 과정에서 북한 소행인 것으로 확인된 것입니다.
사이버수사국은 이번 사건과 관련해 국제형사사법 공조 등을 통해 수사를 계속 진행하고 있습니다. 특히 인터폴(국제형사경찰기구)의 공조가 필수적이라고 강조했습니다. 사이버범죄 특성상 추적을 회피하기 위해 일반적으로 여러 나라의 서버를 옮겨다니는 이른바 ‘IP 주소 세탁’을 하기 때문이죠.
북한 해커를 색출해 처벌할 수 있으면 좋겠지만, 현실적으로 이들을 검거하는 데 어려움이 큽니다. 전 세계적으로도 북한 해커가 처벌된 사례는 단 한 건도 없다고 합니다. 미국 법무부가 은행과 기업 등을 광범위하게 해킹해 약 13억달러(1조4300억원)의 가상화폐와 돈을 빼돌린 혐의를 받는 북한 정찰총국 소속 해커 박진혁, 전창혁, 김일 등 3명을 2021년 2월 기소했지만, 법정에 세우진 못한 상태입니다.
사이버 해킹 공격에 대응해 무엇보다 예방이 중요합니다. 경찰은 이번 공격 대상이 된 당사자와 기업에 피해 사실을 통보한 뒤 피해 PC 87대를 확인, 경유지로 사용하지 못하도록 조치했으며, 피해자 49명의 포털 메일을 변경하도록 했습니다. 또 악성 프로그램이 깔린 인터넷 도메인 주소를 확인, 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했습니다.
앞으로도 북한의 사이버 공격 시도는 지속할 것으로 전망됩니다. 경찰 관계자는 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화하는 게 좋다고 조언했습니다.
- 이메일 : jebo@edaily.co.kr
- 카카오톡 : @씀 news