북한이 한국 외교·통일·안보·국방 분야 종사자 49명의 이메일을 해킹해 감시한 것으로 25일 확인됐다.
전문가들은 북한의 해킹 공격이 무차별적으로 이어질 가능성이 큰 만큼 개인정보 유출에 각별한 주의가 필요하다고 지적했다.
경찰청 국가수사본부에 따르면 최근 발생한 대통령직 인수위원회 출입기자 및 태영호 국회의원실 비서 등 사칭 이메일 사건이 북한의 특정 해킹조직 소행인 것으로 밝혀졌다.
경찰은 이번 사건의 배후로 그간 국내외 민간 보안업체에서 일명 ‘김수키(Kimsuky)’ 등으로 알려진 북한의 특정 해킹조직과 수법이 유사하다고 결론내렸다. 최근 잇단 사칭 이메일 해킹 사건 역시 기존 북한발로 규명된 2014년 한국수력원자력 해킹 사건 및 2016년 국가안보실 사칭 이메일 발송사건과 비교해 공격 근원지의 아이피(IP) 주소, 해외 사이트의 가입정보, 경유지 침입?관리 수법, 악성 프로그램의 특징 등이 과거 북한의 해킹 조직의 수법과 같다는 판단이다. 또 해커들이 북한어휘를 사용하고, 범행 대상이 외교·통일·안보·국방 전문가로 일관된 점도 이를 뒷받침한다고 경찰은 설명했다.
이들은 IP주소를 세탁한 뒤, 기자·국회의원실 등을 사칭하며 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 이메일을 외교·통일·안보·국방 전문가 892명에게 발송했다. 해커들은 첨부파일 다운로드 영역을 조작해 클릭을 유도한다. 국내의 실제 인터넷 포털과 거의 똑같은 피싱사이트에 접속한 피해자는 다운로드 주소를 클릭해 가짜 로그인 창에 암호를 입력하게 된다. 이때 해커는 계정탈취나 악성코드를 삽입한다.
이 같은 수법에 당한 외교안보 전문가는 교수를 포함해 49명에 달한다. 북한 해커들은 이들의 송·수신 전자우편을 실시간으로 감시하고 첨부 문서와 주소록 등을 빼돌렸다. 피해자 대부분은 국가기관 소속보다 일반 연구기관에 근무하는 대학교수들이었다.
경찰은 이번 수사 과정에서 북한 해킹조직이 국내에서 처음으로 랜섬웨어를 유포한 사실도 발견했다. 확인된 피해규모는 국내 업체 13곳 서버 19대다. 북한 해킹조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 장악하며 사이버테러를 위한 기반을 확보했다고 경찰은 설명했다. 이는 수사기관의 추적을 회피하기 위한 아이피IP 주소 세탁용 경유지로 이용됐다.
경찰 관계자는 “경유지로 사용하던 업체 서버에 북한 해커들이 랜섬웨어를 뿌린 것으로 보인다”라고 설명했다.
전문가들은 북한발 해킹 공격이 무차별적으로 이뤄지고 있는 만큼 사이버보안에 더 신경써야 한다고 제언했다.
이규봉 경찰청 사이버테러수사대장은 “북한 해커들이 해외 경유지를 통해 들어오는 만큼 이에 대한 접속을 차단하게 설정한다든지 이중 인정으로 한다든지 핸드폰 인증이라든지 오티피(일회용 비밀번호)를 주기적으로 변경하는 게 해킹 공격을 막는 데 효과적”이라고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >