“코멘트 요청드려요”…안보전문가 받은 메일, 北 ‘김수키’ 해킹이었다

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. 뉴스1

지난해 국내 외교·통일·안보·국방 분야 전문가들에게 대량 유포된 ‘피싱 메일’이 북한 정찰총국 산하 해커조직 ‘김수키(Kimsuky)’의 소행으로 확인됐다.

7일 경찰청 국가수사본부에 따르면 김수키는 지난해 4∼7월 남한 외교·안보 전문가 150명에게 피싱 사이트 접속을 유도하고 계정 정보를 탈취하는 악성 전자우편을 발송했다.

이들은 남한 내 36개, 국외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 인터넷 프로토콜(IP) 주소를 세탁해 피싱 메일을 발송했다.

경찰은 이들이 교수, 연구원, 기자 등을 사칭하며 안보 분야 관계자들에게 접근한 것으로 보고 있다. 교수와 연구원을 사칭할 땐 책자 발간이나 논문 관련 의견을 요청했고, 기자를 사칭할 땐 인터뷰나 자료 요청 등이 담긴 메일을 보냈다.

북한 해킹조직이 국내 안보전문가 등에게 보낸 피싱 메일 내용. (경찰청 제공) 뉴시스

경찰이 공개한 전자우편을 보면 “제가 현재 연구소에서 작성 중인 글이 있습니다. 교수님께 제 글에 대한 코멘트 요청을 드리고자 연락드립니다” 등의 내용이 담겼다.

이들은 피해자가 답장하면 다시 메일을 보내 대용량 문서 파일을 다운로드 하도록 유도했다. 이어 보안이 강화돼 문서 파일을 열기 위해선 본인인증이 필요하다며 가짜 피싱 사이트에 접속하도록 요구했다. 피해자가 이에 응하면 아이디와 비밀번호 등 계정 정보를 탈취해 메일함에 담긴 발신·수신 메일 내용을 가로챘다.

실제 피싱 사이트에 접속해 계정 정보를 뺏긴 피해자는 총 9명으로 파악됐다. 전직 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등이 피해를 봤다. 탈취된 정보 중 민감한 기밀자료는 없는 것으로 확인됐다.

목적을 달성한 피해자에게는 감사 메일을 발송해 의심을 차단한 것으로 드러났다. 피해자 중 악성 전자우편을 받은 사실을 전혀 인지하지 못한 사례도 있었다.

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. 뉴스1

김수키는 2014년 한국수력원자력 해킹 사건으로 유명세를 탄 북한 해킹조직이다. 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일도 이들의 소행인 것으로 확인됐다. 정부는 지난 2일 김수키를 인공위성과 우주개발 기술 탈취 등에 관여했다며 독자 제재 대상으로 지정했다.

경찰과 국가정보원은 피싱 메일 5800여 개를 분석하고 공격 근원지 IP 주소와 경유지 구축 방식 등을 확인해 김수키를 범행 주체로 지목했다. 다수의 메일에서 ‘봉사기’(서버), ‘랠’(내일), ‘적중한’(적합한) 등 북한식 어휘나 문구를 사용한 것도 결정적 근거가 됐다.

경찰은 피해자·소속기관에 피해 사실 통보, 피싱 사이트 차단, 공격수법 등 관련 정보 유관기관 공유 등 피해 보호 조치를 완료했다.

경찰은 김수키가 사용한 국내외 서버에서 가상자산 지갑 주소 2개가 발견돼 금전 탈취도 시도한 것으로 보고 계속 수사 중이다. 이들 지갑에선 200만 원 상당의 거래가 이뤄진 것으로 전해졌다.

경찰청 관계자는 “안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 지속적으로 이어질 것으로 전망한다”며 “전자우편 비밀번호의 주기적인 변경과 본인 인증 설정 강화, 해외 접속 차단, 의심스러운 전자우편 재확인 등 보안 조치를 강화해 줄 것을 당부한다”고 강조했다.

이혜원 동아닷컴 기자 hyewon@donga.com