지난해 안보분야 전문가 악성 전자우편도 북한 해커조직 '김수키'였다

北 해킹조직, 138개 서버 장악 공격

피해자 9명, 실시간 전자우편 유출

경찰 "인증 등 보안조치 강화 당부"

사건개요도.경찰청

지난해 4월부터 7월까지 안보분야 주요 관계자를 대상으로 한 악성 전자우편 사건이 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘김수키’ 소행으로 확인됐다고 경찰청 국가수사본부가 18일 밝혔다.

유엔 안전보장이사회(안보리) 산하 대북제재위원회 전문가패널 보고서에 따르면 북한 정찰총국 제3국(기술정찰국) 산하 단체인 김수키는 군사, 에너지, 인프라 분야를 공격 타깃으로 삼고 해당 분야에서 활동하는 업체들의 기밀정보를 노린 북한 해커조직이다.

경찰은 지난해 4월부터 7월까지 윤석열 정부의 출범기간을 노리고 북한 해킹조직이 전현직 고위공무원, 대학교수, 외교?통일?안보?국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도하여 계정 정보를 탈취하는 악성 전자우편을 발송한 것으로 확인했다.

북한 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개)의 서버를 장악해 해킹 공격을 위한 기반을 확보한 것으로 파악된다. 일당은 추적을 피하기 위해 아이피(IP) 주소를 세탁한 뒤 악성 전자우편을 발송하는 수법으로 피싱 사이트를 만든다.

이들이 보낸 전자우편에 속은 피해자 9명은 피싱사이트에 접속해 자신의 아이디와 비밀번호를 입력한 것으로 밝혀졌다.

북한 해킹조직은 피해자들의 전자우편을 실시간으로 확인하고 첨부문서와 주소록 등을 가로챈 것으로 조사됐다.



경찰은 ?공격에 사용한 아이피(IP) 주소 ?경유지 구축 방법 ?북한식 어휘 문구 ?공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 북한의 해킹조직을 김수키로 판단했다.

특히 이번 수사를 통해 공격 서버에서 가상자산 지갑주소가 발견된 만큼 김수키는 정보유출을 넘어 금전탈취 시도에 나선 정황도 포착됐다.

경찰청 관계자는 “안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 지속적으로 이어질 것”이라며 “전자우편 비밀번호의 주기적인 변경과 본인 인증 설정 강화, 해외 접속 차단, 의심스러운 전자우편 재확인 등 보안 조치를 강화해 줄 것을 당부한다”고 밝혔다.

단계별 악성 전자우편 공격 수법.자제공=경찰청