북한 해킹 조직이 국군방첩사령부 계엄 문건 공개, ‘오늘의 운세’ 무료 제공(오른쪽)이라고 속인 이메일 사례. 경찰청 제공

12·3 비상계엄 사태 직후 북한 해킹 조직이 ‘방첩사 계엄 문건 공개’라는 가짜 이메일을 발송해 피싱 공격을 벌인 것으로 드러났다. 국내에서 최소 120명의 개인정보가 탈취된 것으로 조사됐다.

경찰청 국가수사본부는 지난해 11월부터 올해 1월까지 북한 해킹 조직이 12만6266차례 1만7744명을 대상으로 피싱 이메일을 살포한 사실을 확인했다고 15일 밝혔다. 이 가운데 7771명이 이메일을 열람했고, 573명이 피싱 사이트에 방문한 것으로 파악됐다. 아이디와 비밀번호를 해킹당한 이들은 최소 120명으로 파악됐다.

계엄 문건이라고 속인 이메일은 54명에게 발송됐다. 해당 이메일에는 ‘계엄사·합수본부 운영 참고자료[원본]’이라는 압축 파일이 첨부됐다. 파일을 열면 다른 악성 프로그램을 자동으로 내려받도록 설계됐다고 경찰은 설명했다.

이외에도 사칭 이메일 종류는 30여 가지 유형으로 다양했다. 오늘의 운세, 세금 환급, 유명 가수 콘서트 관람권, 건강 정보 등 관심을 끌 만한 내용으로 위장했다. 사칭 이메일에 포함된 링크를 누르면 포털사이트 계정 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되도록 설계됐다.

경찰 관계자는 “기존에는 소수의 특정 수신자에게 ‘북한의 신년사에 대한 정세 분석’ 등 내용을 보내 해킹을 시도하는 수법이 주를 이뤘다면 이번에는 자동화 대량발송 프로그램을 활용한 것이 특징”이라고 말했다.

경찰은 확보된 서버 분석을 통해 북한 소행이라는 흔적을 다수 포착했다. 해당 서버는 기존 북한발(發) 사이버 공격 당시 사용된 서버와 동일했다. 범행 근원지의 아이피(IP) 주소는 북한과 중국의 접경 지역인 랴오닝성에 할당된 것으로 조사됐다.

경찰은 서버 기록을 분석한 결과 인터넷 포트(port)를 ‘포구’로, 동작을 ‘기동’으로, ‘페이지(쪽)’를 ‘페지’라고 표현하는 등 다수의 북한 어휘가 사용된 점을 확인했다고 밝혔다. 다만 ‘라자루스’ ‘김수키’ 등 기존 북한 해킹 조직과의 관련성은 찾지 못했다.

사칭 이메일 수신자에는 국내 통일·안보·국방·외교 분야 정부 기관 종사자 및 연구자, 언론인 등이 포함됐다. 이들 중 일부는 과거에도 북한의 사이버 공격을 받았던 것으로 파악됐다. 경찰 관계자는 “발송자가 불분명한 이메일은 열지 말고 첨부파일이나 링크도 클릭하지 말아야 한다”며 “아이디와 비밀번호 등 중요 정보를 입력하기 전 이메일과 웹사이트 주소도 주의 깊게 살펴봐야 한다”고 말했다.

국민일보

신재희 기자([email protected])