- 2개월간 12만 통 넘는 사칭 메일 발송…군·외교·통일 분야 집중 노려
- 탈북자 정보 수집 정황까지 포착…북한식 어휘·중국 접경 IP 통해 발신
지난해 12월 “방첩사 계엄문건 공개”라는 제목의 전자우편이 대량 유포되며 논란이 일었던 사건이 북한 해킹조직의 소행으로 확인됐다. 경찰청 국가수사본부는 2024년 12월 11일 발생한 해당 피싱 메일 사건을 수사한 결과, 북한 해커들이 약 두 달간 조직적으로 사칭 전자우편을 대량 발송해 개인정보를 탈취한 사실을 밝혀냈다고 16일 발표했다.
경찰에 따르면 북한 해킹조직은 2024년 11월부터 2025년 1월까지 17,744명을 대상으로 총 126,266통의 사칭 전자우편을 보냈으며, 이 중 120명은 실제로 계정정보와 메일 보관함, 연락처 등의 개인정보를 탈취당하는 피해를 입었다.
이번 사건은 고도의 치밀한 사이버 공격 양상을 띠고 있었다. 경찰은 한국인터넷진흥원과 협력해 관련 서버, 메일 내역, 프로그램 코드를 분석한 결과, 북한과 연계된 것으로 알려진 기존 해킹 사건에서 사용된 서버가 재활용됐다는 점을 확인했다. 아울러, 해킹 메일 수신자가 통일, 안보, 국방, 외교 분야 종사자 중심으로 특정된 점, 해킹 시도에 사용된 IP 주소가 중국과 북한 접경지역에 할당된 점 등도 북한 연계 정황을 뒷받침했다.
특히 공격에 사용된 서버 중 일부에서는 탈북자 관련 정보나 군 관련 민감한 정보가 수집되고 있었고, 해커들이 사용한 인터넷 검색기록에서 북한 특유의 어휘가 다수 포착되면서 북한의 개입이라는 결론에 무게가 실렸다.
피싱 공격에 사용된 메일은 모두 30가지 이상의 유형으로 구성됐으며, △계엄 문건 △북한 신년사 분석 △정세 전망 보고서 등 안보 이슈를 위장한 전통적 수법부터 △유명가수 콘서트 초대장 △세금 환급 △오늘의 운세 △건강정보 제공 등 일상 친숙형 주제까지 활용됐다.
메일에는 사용자의 호기심을 자극하는 링크가 포함돼 있었고, 이를 클릭할 경우 포털사이트 로그인을 요구하는 피싱 사이트로 유도하는 방식이었다. 공격에 사용된 발신 이메일 주소는 공공기관처럼 보이거나, 실제 지인의 이메일과 유사한 형태로 구성돼 있었다. 피싱 사이트 주소 또한 유명 사이트 주소에 철자를 바꾸거나 몇 글자를 추가해 눈속임을 꾀했다.
더욱이 이번 피싱 공격에 사용된 발송 시스템은 수신자의 메일 열람 여부, 링크 클릭 여부, 계정정보 입력 여부 등 통계를 자동으로 수집할 수 있는 자체 프로그램까지 갖춘 것으로 드러났다. 해킹의 정밀도와 조직적인 준비 수준이 상당히 높았다는 점에서 국내외 보안기관은 이를 국가 주도의 사이버전 일환으로 보고 있다.
경찰은 국민들에게 발신자가 불분명한 이메일은 절대 열람하지 말고, 첨부파일이나 링크 클릭도 피해야 한다고 강조했다. 특히 로그인을 요구하는 사이트의 경우, 주소와 도메인을 꼼꼼히 확인하고, 포털사이트 비밀번호는 주기적으로 변경하며 2단계 인증 등 보안 조치를 병행할 것을 권고했다.
경찰 관계자는 “북한은 민감한 정보 수집을 위해 날로 진화한 사이버 공격을 시도하고 있다”며 “어떠한 유형의 사이버 공격에도 신속하고 엄정하게 대응할 수 있도록 국내외 기관들과의 협력체계를 강화해 나가겠다”고 밝혔다.
