경찰 "'방첩사 계엄문건' 사칭 해킹 메일, 북한 소행"

발송자 서버 기록에 북한 어휘…120명 개인정보 피싱 피해

방첩사가 작성한 계엄 문건을 사칭한 피싱 이메일 사례 [경찰청 제공. 재판매 및 DB 금지]

(뉴스저널코리아) 김도영 기자  = 지난해 말 비상계엄 이후 '방첩사 작성한 "계엄 문건" 공개'라는 제목의 해킹 메일이 다량 유포된 사건은 북한의 소행으로 경찰 조사 결과 드러났다.

경찰청 국가수사본부는 작년 11월부터 올해 1월까지 북한 해킹 조직이 개인정보 탈취를 목적으로 국내 1만7천744명에게 사칭 이메일을 12만6천266회 발송한 사실을 확인했다고 15일 밝혔다.

이메일 종류는 30여가지로, 국군방첩사령부가 쓴 계엄 문건으로 위장한 것은 총 54명에게 전송됐다.

이 외에도 북한 신년사 분석이나 정세 전망 문서, 유명 가수의 콘서트 관람권, 세금 환급, 오늘의 운세, 건강정보 등 정보 제공 문서로 위장한 이메일이 확인됐다.

이메일에 포함된 링크를 누르면 포털 사이트 계정 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되도록 설계됐다.

발신자 주소는 공공기관을 연상케 하거나 수신자 지인의 이메일 주소와 유사하게 표시됐다. 피싱 사이트 주소도 유명 포털사이트와 비슷한 형태로 구성됐다.

사칭용 이메일과 피싱 사이트 주소 사례 [경찰청 제공. 재판매 및 DB 금지]

경찰 조사 결과 기존 북한발 사이버공격 사건에서 사용된 서버가 이번에도 사용됐고, 범행 근원지의 IP주소가 중국 랴오닝성과 북한의 접경지역에 할당된 것으로 나타났다.

발송자들은 다량의 이메일을 보내기 위해 국내 서버 15대를 빌렸다. 이메일 발송 시점부터 수신자 열람, 피싱 사이트 접속, 계정정보 입력 여부를 포함한 정보를 한눈에 파악할 수 있는 프로그램도 사용했다.

서버 기록에는 발송자들이 북한식 어휘를 사용한 흔적이 발견됐다. 예를 들어 정보통신 용어인 '포트'(port)를 '포구', '페이지'를 '페지, '동작'을 '기동'이라고 표현했다.

이메일 수신자 중에는 국내 통일·안보·국방·외교 분야 정부기관 종사자, 연구자, 언론인 등이 포함됐다. 일부는 과거에도 북한의 사이버 공격을 받은 적이 있었다.

조사 결과를 토대로 경찰은 사이버 공격의 주체를 북한으로 지목했다. 다만 '라자루스'나 '김수키' 등 기존 북한 해킹 조직의 소행으로 단정할 만한 근거는 찾지 못했다.

이메일 수신자 1만7천744명 중 120명은 실제로 링크를 통해 피싱 사이트에 접속해 포털 사이트 계정정보, 전자우편, 연락처 등 정보를 탈취당했다.

경찰은 이들에게 피해 사실을 알리고 계정 보호 조처를 하도록 안내했다.

세금 환급 안내문을 가장한 피싱 이메일 [경찰청 제공. 재판매 및 DB 금지]

경찰 관계자는 "기존 북한의 사이버 공격은 북한에 관심 있는 사람을 정교하게 겨냥해 북한과 관련한 내용을 이메일로 보냈다면, 이번 공격은 북한과 무관한 이메일도 다량으로 발송한 점이 눈에 띈다"며 "특히 콘서트 관람권 등 실제로 있을 것 같은 콘텐츠를 활용한 공격을 확인한 것은 이번이 처음"이라고 설명했다.

경찰 관계자는 "발송자가 불분명한 전자우편은 열람하지 않고 특히 첨부파일과 링크를 누르지 않는 게 매우 중요하다"며 "중요 정보를 입력하기 전 이 정보를 요구하는 이의 이메일·웹사이트 주소를 주의 깊게 살펴본다면 피해를 예방할 수 있다"고 강조했다.

(뉴스저널코리아) 김도영 기자

(끝)