새정부 출범 맞춰 피싱 공격…경찰, 北 해킹조직 김수키 소행

국수본, 북 해킹조직 국내 안보 전문가 대상 피싱 공격
150명 중 9명 계정 정보 탈취…국내외 서버 이용 치밀함

북한 해킹조직 사건 개요도/제공=경찰청 국가수사본부

지난해 새 정부 출범 기간에 맞춰 국내 안보 분야 전문가를 대상으로 악성 전자우편을 보내 계정 정보를 탈취한 사건의 배후는 북한 해킹조직인 '김수키'의 소행으로 확인됐다.

경찰청 국가수사본부는 북한 해킹조직이 지난해 4월부터 같은 해 8월까지 150명의 안보 분야 전문가를 피싱 사이트로 접속을 유도해 계정 정보를 탈취하는 방식으로 공격했다고 7일 밝혔다.

국수본에 따르면 북한 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개) 서버를 장악해 해킹 공격을 위한 기반을 확보하고 정부의 추적을 피하기 위해 아이피(IP) 주소를 세탁하는 방식으로 피싱 공격을 벌인 것으로 나타났다.

이 조직은 수사기관의 추적을 피하기 위해 서버마다 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능을 나누는 치밀함을 보였다.

국수본은 이 조직이 만든 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 피해자가 총 9명으로 확인됐고, 북한 해킹조직이 이들의 송수신 전자우편을 실시간 확인하고 첨부 문서·주소록 등을 빼간 것으로 조사됐다.

국수본은 이번 사건을 그간 국내외 민간 보안업체에서 이른바 '김수키(Kimsuky)' 등으로 명명한 북한 해킹조직의 소행으로 최종 결론내렸다. 공격에 사용한 아이피 주소, 경유지 구축 방법, 북한식 어휘 문구, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 판단했다.

국가수사본부/정민훈기자

새 정부 출범에 맞춰 이뤄진 이번 북한 해킹조직의 공격은 더욱 치밀해진 것으로 확인됐다. 북한 해킹조직은 피해자들의 지인, 안보 분야 오피니언 리더를 사칭하는 방법으로 접근을 시도했다.

해킹조직은 교수·연구원을 사칭했다면 책자 발간 또는 논문 관련 의견을 요청하는 내용을, 언론을 사칭한 경우 인터뷰나 자료를 요청하는 방식으로 전자우편을 발송했고 이후 피해자가 회신 전자우편을 보내면 대용량 문서 파일을 다운로드 하도록 유도했다.

특히 대용량 문서 파일을 열기 위해 본인 인증이 추가로 필요하다며 피싱 사이트로 접속을 유도해 계정 정보를 탈취한 것으로 파악됐다.

국수본은 안보 분야 관계자를 대상으로 북한의 해킹 시도가 지속적으로 이어질 것으로 보고, 보안 조치를 강화해 줄 것을 당부했다.

국수본 관계자는 "이번 수사를 통해 해킹조직이 이용한 공격 서버에서 이들이 사용한 가상자산 지갑 주소가 발견됨에 따라 계정 정보뿐만 아니라 금전 탈취도 시도하고 있는 것으로 판단해 추적 수사를 계속 진행하고 있다"라며 "앞으로도 국가안보에 위협이 되는 사이버 공격 동향과 대응 사례를 관계기관과 적극적으로 공유하는 한편, 북한 해킹조직의 불법 사이버 활동에 대한 선제적인 대응을 강화해나갈 계획"이라고 밝혔다.