北‘김수키’, 코인 노리고 Navor-daurn 등 가짜 포털 만들어 해킹

네이버 등 똑같은 피싱사이트 개설
가짜 건보안내서 등 보내 클릭 유도
회사원 등 1468명 이메일 계정 빼내
가상자산거래소 접속… 탈취는 실패

크게보기

북한 정찰총국 산하 해킹조직 ‘김수키(Kimsuky)’가 국내 일반인의 가상자산을 노리고 1400여 명의 이메일 정보를 해킹한 것으로 드러났다. 해킹한 피해자의 계정 정보로 가상자산 거래소까지 접속했지만 2단계 인증은 실패해 가상자산을 실제로 탈취하진 못한 것으로 조사됐다.

● 경찰 “일반인 가상자산 노렸지만 실패”

경찰청 국가수사본부는 21일 브리핑을 열고 “김수키의 활동 내용을 추적해 수사한 결과 해킹 공격 대상을 외교안보 분야 공무원과 전문가뿐만 아니라 일반인까지 확대한 것으로 나타났다”며 이같이 밝혔다.

경찰 조사 결과 김수키는 국내 서버 194대, 43개국 서버 382대 등 총 576대의 서버를 경유해 인터넷주소(IP주소)를 바꾼 뒤 내국인 1468명의 이메일 계정을 탈취했다. 피해자 중에서 외교안보, 국방, 통일 분야의 전·현직 공무원 등 전문가는 57명이었다. 이 중엔 전직 장관급 인사도 한 명 포함된 것으로 전해졌다. 나머지 1411명은 회사원이나 자영업자 등 일반인이었다.

경찰은 지난해 김수키가 외교안보 전문가 등을 위주로 해킹 공격을 감행했던 것과 달리 올해 일반인까지 광범위하게 해킹한 배경에 대해 “가상자산 탈취 목적 때문”이라고 판단했다. 경찰 조사 결과 김수키는 이메일을 해킹해 파악한 피해자 계정 정보를 토대로 가상자산 거래소에 몰래 접속했다. 하지만 휴대전화 인증 등이 필요한 2단계 인증 등 보안 절차를 뚫는 데는 실패해 가상자산 탈취는 못 한 것으로 조사됐다.

김수키는 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램도 관리자 몰래 실행한 것으로 드러났다. 채굴로 탈취한 금액은 100만 원 미만인 것으로 나타났다.

● ‘Navor’, ‘daurn’ 등 피싱용 가짜 사이트 만들어

북한 해킹조직 '김수키(Kinsuky)'가 개인정보를 탈취하려고 만든 가짜 피싱 사이트 화면 캡처. 외관상으로 보면 네이버, 구글, 카카오 등 국내외 포털 사이트 로그인 화면과 구분되지 않는다. 경찰청 제공

김수키는 국민건강보험이나 국민연금공단 통지서, 국세청 국세 납부 안내서를 가짜로 만들어 이메일로 보내 클릭하도록 유도한 뒤 피해자 PC에 악성 피싱 프로그램을 설치했다. 언론사 기자를 사칭해 전문 자료나 인터뷰 질문지라고 속여 첨부파일을 열어보도록 하는 수법도 썼다.

또 이들은 주요 포털 사이트 디자인과 똑같은 형식의 피싱 사이트를 만들어 계정 정보를 빼내는 수법을 썼다. 인터넷주소(URL)에는 언뜻 보면 국내 포털 사이트 주소와 유사한 ‘Navor(네이버는 Naver)’, ‘daurn(다음은 daum)’ 등을 사용했다. 해당 주소를 클릭해 접속한 가짜 피싱 사이트 외관 역시 실제 포털 사이트와 똑같은 디자인으로 만들어 로그인 정보를 탈취했다.

경찰은 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단했고 김수키 경유 서버 목록 등 관련 정보도 관계기관에 제공했다. 경찰 관계자는 “해킹 피해를 막기 위해선 이메일과 가상자산 거래소 계정 비밀번호를 주기적으로 변경하고 2단계 로그인 인증이나 일회용 비밀번호 생성기(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해야 한다”고 당부했다.

앞서 김수키는 지난해 4∼10월 국립외교원 관계자, 20대 대통령직인수위원회 출입기자 등을 사칭해 통일 외교 안보 국방 전문가 892명에게 악성 피싱 프로그램이 숨겨진 이메일을 보냈다. 당시 이메일을 받았던 전문가 중 49명이 실제로 해킹 피해를 입었다.

김수키는 대남 공작 업무를 총괄하는 북한 정찰총국 소속으로 2014년 한국수력원자력 원전 도면 유출, 2015년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목되는 조직이다.

송유근 기자 big@donga.com