‘방첩사 계엄문건 공개’로 낚은 해킹메일, 北 소행이었다

작년 12월 11일 발송…최소 120명 개인정보 탈취당해

크게보기

북한 노동당 기관지 노동신문은 15일 김일성 주석 생일을 대대적으로 축하하는 분위기를 전하며 “수도의 거리마다에서 경축의 환희가 넘친다”라고 보도했다. (평양 노동신문=뉴스1)

경찰이 지난해 12·3 비상계엄 사태를 악용해 대량으로 해킹 메일이 유포된 사건에 대해 북한의 소행이라고 밝혔다. 실제 개인정보를 탈취당한 피해자가 최소 120명으로 파악됐다.

15일 경찰청 국가수사본부는 “지난해 12월 11일 ‘방첩사 작성한 계엄 문건 공개’라는 제목으로 발송된 전자우편 사건을 수사한 결과 북한의 소행으로 규명됐다”고 밝혔다.

경찰에 따르면 북한 해킹조직은 개인정보 탈취 목적으로 지난해 11월부터 올해 1월까지 1만7744명에게 총 12만6266회의 사칭 이메일을 발송했다.

이메일 발송은 해외 업체를 통해 임대한 서버 15대에서 자체 제작한 프로그램을 통해 이뤄졌다. 이 프로그램은 이메일이 발송되는 시점부터 수신자의 열람·피싱 사이트 접속·계정정보 획득 등의 여부를 포함한 각종 자료를 한눈에 파악할 수 있는 기능을 포함하고 있었다.

사칭 이메일의 종류는 30가지 유형에 달할 정도로 다양했다. 계엄 문건 첨부 사례 뿐만 아니라 북한 신년사 분석 및 정세 전망으로 위장한 이메일도 있었다. 유명 가수의 콘서트 관람권 초대장, 세금 환급, 오늘의 운세, 건강정보 등을 제공하는 것처럼 위장하기도 했다.

이러한 이메일 주소는 공공기관을 연상케 하거나 지인의 전자우편 주소와 유사한 형태였다. 사칭 사이트 또한 유명 사이트 주소에 몇 글자를 추가하거나 유사한 철자로 구성돼 있었다. 본문에는 ‘바로가기’(링크)가 포함돼 있었고, 이를 누르면 로그인이 필요하다며 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되는 수법이었다.

사칭 이메일 수신자 중 120명은 피싱 사이트에 접속 후 자신의 아이디와 비밀번호를 입력해 계정정보 및 보관함에 저장된 연락처 정보 등을 탈취당한 것으로 확인됐다.

경찰은 조사 결과 △기존 북한발 사건에서 파악된 서버를 재사용 한 점 △사칭 이메일 수신자가 통일·안보·국방·외교 분야 종사자인 점 △범행 근원지 IP 주소가 중국과 북한의 접경지역에 할당된 점 등을 근거로 북한 해킹조직의 소행이라고 결론지었다.

또 사칭 이메일을 조직적으로 발송하기 위해 임대한 서버에서 탈북자와 군 관련 정보를 수집하고 있었고, 인터넷 검색기록에서 북한식 어휘가 다수 확인됐다고도 밝혔다.

앞서 박근혜 정부 ‘국정농단’ 사태로 정국이 혼란스럽던 2016년 11월, 2017년 1월에도 ‘최순실 사태’ 등을 언급한 악성 스팸메일이 유포돼 문제가 된 바 있다. 당시 경찰청 사이버안전국 발표에 따르면 북한이 정부기관 등을 사칭해 악성코드가 담긴 메일을 유포했고 첨부파일엔 ‘최순실 국정농단’, ‘대통령 하야’ 등이 거론돼 있었다.

경찰 관계자는 “발송자가 불분명한 이메일은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다”며 “아이디와 비밀번호 등 중요 정보를 입력하기 전 이메일과 웹사이트 주소 등을 주의 깊게 살펴봐야 한다”고 강조했다.