![국가수사본부가 15일 북한의 ‘방첩사 계엄 문건’ 사칭 e메일 사건을 브리핑하고 있다. [뉴스1]](https://imgnews.pstatic.net/image/025/2025/04/16/0003434407_001_20250416002910716.jpg?type=w860)
국가수사본부가 15일 북한의 ‘방첩사 계엄 문건’ 사칭 e메일 사건을 브리핑하고 있다. [뉴스1]
북한 해커 조직이 2개월가량 ‘방첩사 작성 계엄 문건 공개’ ‘오늘의 운세’ 등의 사칭 전자우편(e메일)을 12만 통 넘게 유포해 개인정보 해킹을 시도한 정황을 경찰이 포착했다. 경찰 국가수사본부는 15일 “지난해 12월 ‘방첩사 작성 계엄 문건 공개’라는 제목으로 발송된 e메일을 수사한 결과 북한의 소행으로 규명했다”며 이같이 밝혔다. 경찰은 지난해 12월 11일 오후 1시45분쯤 ‘방첩사 작성한 계엄 문건 공개’라는 제목의 e메일이 불특정 다수에게 유포된 상황을 확인하고 수사에 착수했다. 해당 e메일엔 ‘여인형 방첩사령관의 지시로 작성된 이 문건엔 국회의 계엄 해제 요구 시 대통령의 거부 권한이 있는지 등을 검토한 내용이 담겨 있다’며 첨부 파일을 내려받을 것을 유도했다. 해당 첨부 파일을 다운로드하면 악성 프로그램이 실행되는 피싱 메일이었다.
이를 포함해 북한 해커 조직은 지난해 11월부터 지난 1월까지 국내 서버 15대를 임대해 1만7744명을 대상으로 12만6266회 사칭 e메일을 보냈다. 메일의 종류는 ‘오늘의 운세’나 경제 기사 소개, 건강 정보가 담긴 소식지 등 30여 종에 달했다. 임영웅 등 유명 가수의 콘서트 관람권 초대장 형식을 가져온 경우도 있었다. 메일을 보낸 발신자는 정부기관을 사칭하거나 수신자의 평소 지인의 e메일 주소와 비슷하게 만들어 사칭했다.
북한 해커 조직은 이런 e메일에서 ‘바로가기(링크)’를 누르도록 수신자를 유도했다. 링크를 누르면 포털 사이트 계정 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되도록 설계됐다. 가짜 사이트의 주소(URL)는 구글이나 네이버, 카카오 등 유명 사이트의 주소에 ‘auth’ ‘login’ 등의 단어를 추가하는 형식으로 이뤄졌다.
북한 측이 보낸 메일을 받은 1만7744명 중 120명은 아이디(ID)나 비밀번호 등을 입력해 개인정보가 유출되는 피해를 본 것으로 조사됐다. 다만 중요 정보가 유출되지는 않았다고 한다.
경찰은 확보된 서버 분석을 통해 북한의 흔적을 다수 포착했다. 해당 서버는 기존 북한발 사이버 공격 당시 사용된 서버와 동일하며, 범행 근원지 아이피(IP) 주소 또한 북한과 중국의 접경지역인 랴오닝성에 할당된 점도 확인됐다. 또 서버 기록에서 인터넷 포트(port)를 ‘포구’로, 동작을 ‘기동’으로, ‘페이지’를 ‘페지’라고 표현하는 등 다수의 북한 어휘가 사용된 점을 확인했다.
