[단독]서울시 공무원 사칭 해킹 메일, 北 ‘김수키’ 소행인 듯

지난달 악성코드 유포…IP 추적 결과 ‘김수키’
市 “시민계정으로 발신된 업무메일은 열지 말라”

동아DB

최근 북한 해커로 의심되는 세력이 서울시의 시민 계정(@citizen.seoul.kr)을 도용해 시 공무원을 사칭한 해킹 메일을 발송한 것으로 알려진 가운데, 경찰이 북한 정찰총국 산하 해킹조직 ‘김수키(Kimsuky)’의 범행을 염두에 두고 수사 중인 것으로 확인됐다. 김수키는 2014년 한국수력원자력 해킹, 2016년 국가안보실 사칭 메일 발송 사건 등을 벌인 북한 해킹 조직이다.

13일 서울경찰청 안보사이버수사대는 서울시청을 압수수색하고 북한 해커가 사용한 것으로 추정되는 서울시 이메일 계정 정보 등을 확보했다.

경찰 조사 결과 해킹 과정에 사용된 IP 주소는 과거 북한 해커 소행 범행에 쓰인 것과 같은 것으로 드러났다. 이 해커가 ‘김수키’인 것으로 알려졌다. 경찰 관계자는 “(이번 범죄가) 북한 해커 소행인지 여부는 추가 수사를 통해 확인해야 할 부분”이라며 “해킹된 이메일 계정 정보를 자세히 분석 중”이라고 밝혔다.

경찰과 서울시에 따르면, 서울시 홈페이지에서 가입해 만들 수 있는 시민 계정 일부가 해킹됐고 1월 해커가 피싱 메일을 무작위 발송한 것으로 보인다.

문제의 메일은 ‘대북전단 살포 관련 비대면 회의가 가능한지’ 등을 묻는 내용으로, 악성코드가 숨겨진 파일이 첨부돼 있던 것으로 전해졌다.

이날 서울시는 서울시 공식 계정(@seoul.go.kr)이 아닌 이메일은 열람하지 말라고 시민들에게 당부했다. 서울시 관계자는 “시는 시민 메일 계정으로 업무 연락을 하지 않는다”며 “시민 메일로 오는 서울시 담당공무원 명의 이메일과 첨부파일은 열람하지 않고 즉시 삭제해야 한다”고 했다.

경찰청 국가수사본부는 2023년 11월 김수키가 국내 일반인의 가상자산을 노리고 국내 서버 194대, 43개국 서버 382대 등을 경유해 IP주소를 바꾼 뒤 내국인 1468명의 이메일 계정을 탈취했다고 밝혔다. 피해자 중에서 외교안보, 국방, 통일 분야의 전·현직 공무원 등 전문가 57명도 포함돼 있었다.

같은 해 8월에는 한미연합연습 전투모의실에 파견된 국내 워게임 운용업체 직원들에게 악성 메일을 대량으로 보내 해킹을 시도한 정황도 드러났다.