개인정보 탈취 목적, 악성 프로그램 자동 설치
광고 위장 메일로 가짜 사이트 유인하는 수법도
광고 위장 메일로 가짜 사이트 유인하는 수법도
경찰청 국가수사본부는 ‘방첩사 계엄 문건 공개’라는 이름으로 발송된 e메일이 개인정보 탈취를 목적으로 한 북한의 해킹 공격이라고 15일 밝혔다. 경찰청 제공
12·3 비상계엄 직후 발송됐던 ‘방첩사 계엄 문건 공개’ e메일은 개인정보 탈취를 목적으로 한 북한의 해킹 공격이었다고 경찰이 밝혔다. 광고성 e메일로 위장한 개인정보 탈취 사례도 처음으로 파악됐다.
경찰청 국가수사본부 사이버테러수사대는 지난해 12월11일 발송된 ‘방첩사 계엄 문건 공개’라는 제목의 e메일이 북한의 해킹 조직이 보낸 것이라고 15일 밝혔다.
이 e메일은 ‘계엄사·합수본부 운영 참고자료[원본]’이라는 압축 파일이 첨부된 형태로 배포됐다. 실제 문건인 것처럼 위장하기 위해 한 국회의원이 방첩사 계엄 문건을 공개했다는 설명과 함께 언론사가 보낸 것처럼 발송자 e메일도 꾸며냈다. 이 파일은 또 다른 악성 프로그램을 자동으로 내려받도록 설계된 것으로 경찰은 보고 있다.
경찰은 이 이메일 발송지를 추적하는 과정에서 해외 업체를 통해 임대한 국내 서버 15대가 사용됐다는 것을 확인했다. 이 서버를 압수해 분석해보니 과거 북한발 해킹 사건에서 쓰였던 서버였고, ‘포구’(포트) ‘페지’(페이지) ‘기동’(동작) ‘현시’(디스플레이 출력) 등의 북한식 용어가 쓰인 게 확인됐다. 경찰은 또 e메일 발송 근원지의 인터넷 주소(IP)가 북한 접경 지역인 중국의 랴오닝성 인근이었다는 점 등을 종합해 해킹 공격이 북한의 소행이라고 판단했다.
‘방첩사 계엄 문건 공개’라고 유인한 뒤 악성 프로그램을 내려받게 한 이메일. 경찰청 제공
이번 범행에서는 위장 첨부 파일을 내려받게 하는 방식뿐 아니라 건강검진·공연·언론보도·세금환급·오늘의운세 등 정보가 담긴 30종의 광고로 꾸민 사칭 e메일을 통해 네이버·카카오·구글 등 포털 사이트로 위장한 가짜 사이트로 유인, 아이디와 비밀번호를 탈취하는 수법도 쓰였다. 과거 ‘북한 신년사 분석과 정세 전망’ 등으로 위장해 관련 분야의 연구자 등을 특정해 e메일을 보내던 것과 차별화된 새로운 수법이라고 경찰은 보고 있다.
북한 해킹 조직은 비상계엄을 전후해 정국이 혼란스럽던 지난해 11월부터 지난 1월까지 1만7744명에게 모두 12만6266회의 e메일을 발송했다고 경찰은 밝혔다. 이런 e메일을 받은 이들 중 7771명이 이 e메일을 열람했고, 573명이 개인정보 탈취를 위한 가짜 사이트에 접속했으며 120명은 실제 아이디와 비밀번호 등을 입력해 개인정보가 북한 해킹 조직에 넘어간 것으로 경찰은 파악했다.
경찰 관계자는 “개인정보 탈취를 예방하고, 이미 탈취된 아이디와 비밀번호 등이 다른 범죄에 악용되는 추가 피해를 막기 위해서라도 포털 사이트 등의 ‘2단계 인증’ 등의 보안 조치가 필요하다”며 “발송자가 불분명한 이메일은 열람하지 않거나 첨부파일이나 링크를 클릭하지 말아야 한다. 주기적으로 본인의 접속 이력도 확인해야 한다”고 당부했다.