北 해킹조직, 2개월간 사칭 메일 12만통 발송

수신자 1만7744명 중 120명 계정정보 털렸다

과학기술정보통신부와 한국인터넷진흥원은 지난해 12월 11일 오후부터 계엄 관련 정보 공유로 위장한 해킹 메일이 대량 유포되고 있는 데 대해 각별한 주의를 당부했다. [과학기술정보통신부 제공]
과학기술정보통신부와 한국인터넷진흥원은 지난해 12월 11일 오후부터 계엄 관련 정보 공유로 위장한 해킹 메일이 대량 유포되고 있는 데 대해 각별한 주의를 당부했다. [과학기술정보통신부 제공]

[헤럴드경제=이용경 기자] 12·3 비상계엄 사태로 혼란하던 틈에 온라인상 대량 유포된 ‘방첩사 작성 계엄 문건’이라는 제목의 해킹 메일이 북한 해킹조직 소행인 것으로 경찰 수사 결과 드러났다. 특히 해당 메일 발송 서버를 추적 분석한 결과 총 30여 종류의 피싱 메일이 불특정 다수에게 발송돼 메일 계정정보 탈취 피해 등을 입힌 것으로 파악됐다.

경찰청 국가수사본부 사이버테러대응과는 15일 오전 서울 서대문구 미근동 국수본 청사에서 열린 수사결과 브리핑에서 “지난해 12월 11일 ‘방첩사 작성한 계엄 문건 공개’라는 제목으로 발송된 메일 사건을 수사한 결과, 북한 소행인 것으로 드러났다”고 밝혔다. 경찰은 북한 해킹조직이 개인정보 탈취를 목적으로 지난해 11월부터 올해 1월까지 사칭 메일을 1만7744명에게 총 12만6266회 발송했다고 설명했다.

경찰은 해킹 범행에 사용된 서버와 메일 등 관련 자료를 분석하고 주요 단서 등을 종합한 결과 ▷기존 북한발 사건에서 파악된 서버를 재사용 한 점 ▷사칭 메일 수신자가 통일·안보·국방·외교 분야 종사자인 점 ▷범행 근원지 아이피(IP) 주소가 중국과 북한의 접경지역에 할당된 점 ▷사칭 메일을 조직적으로 발송하기 위해 임대한 서버에서 탈북자와 군 관련 정보를 수집하고 있던 점 ▷인터넷 검색기록에서 이를테면 ‘포구’, ‘기동’, ‘현시’, ‘페지’ 등 다수의 북한식 어휘가 확인된 점 등을 근거로 북한 소행이라고 결론내렸다.

특히 메일 발송은 해외 업체를 통해 1~2만원대에 쉽게 구할 수 있는 임대 서버 15대에서 북한이 자체 제작한 메일 발송용 프로그램을 통해 이뤄진 것으로 조사됐다. 이 프로그램은 메일이 발송되는 시점부터 수신자의 열람·피싱 사이트 접속·계정정보 획득 여부 등을 포함한 통계자료를 한눈에 파악할 수 있는 기능도 포함하고 있는 것으로 전해졌다.

북한발 사칭 전자우편 개요도 [경찰청 제공]
북한발 사칭 전자우편 개요도 [경찰청 제공]

경찰이 확인한 사칭 메일 종류는 모두 30개 유형으로 다양했다. 북한 해킹조직은 계엄 문건의 첨부 사례를 비롯해 북한 신년사 분석과 정세 전망으로 위장한 고전적인 방식, 유명가수의 콘서트 관람권 초대장, 세금 환급, 오늘의 운세, 건강정보 등을 제공할 것처럼 위장하기도 했다. 특히 이들이 보낸 사칭 메일에는 바로가기(링크)가 포함돼 있었는데, 이를 누르면 로그인 페이지가 뜨고 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결됐다. 또한 사칭 사이트도 유명 사이트 주소에 몇 글자 추가하거나 유사한 철자로 구성돼 있었다. 네이버나 구글 등 유명 포털사이트를 교묘하게 조작해 얼핏 보면 정상적인 웹 사이트로 오인토록 한 것이다.

해킹조직 서버 기록을 조사한 경찰에 따르면, 지금껏 사칭 메일은 1만7744명에게 30개 유형으로 나뉘어 총 12만6266회가량 발송됐다. 이 같은 사칭 메일을 열람한 수신자는 7771명에 달했고, 피싱사이트에 방문한 사람은 573명으로 집계됐다. 수신자 1만7744명 중 120명은 메일로 온 피싱 사이트에 접속한 뒤 자신의 아이디와 비밀번호를 입력해 계정정보를 비롯한 보관함에 저장된 메일 및 연락처 정보를 탈취당하는 피해를 입기도 했다. 다만 해당 피해자들에게 금전적 피해 상황 등은 없는 것으로 경찰은 확인했다. 특히 북한 해킹조직이 사용한 메일 주소는 공공기관을 연상시키거나 지인의 메일 주소와 유사한 형태였던 것으로 조사됐다. 예컨대 ‘go.kr’을 ‘.com’으로 변조해 사칭 메일을 보내는 식이다.

경찰 관계자는 “사칭 메일로 인한 피해를 예방하기 위해서는 발송자가 불분명한 메일은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다”며 “아이디와 비밀번호 등 중요정보를 입력하기 전에 이를 요구하는 자의 메일과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다”고 설명했다. 이어 “메일 아이디와 비밀번호가 노출되지 않도록 철저히 관리하면서 주기적으로 본인의 접속 이력을 확인하는 것이 도움이 된다”며 “경찰은 어떠한 유형의 사이버 공격에 대해서도 엄정하고 신속하게 대응할 수 있도록 국내외 관계기관들과의 협력체계를 굳건히 하는 등 치안 역량을 총동원해 대응해 나갈 예정”이라고 강조했다.

아래는 ‘북한발 사칭 메일’ 사례다. 개인정보가 유출되지 않도록 각별히 유의할 필요가 있다.

사칭 전자우편 1
사칭 전자우편 1
사칭 전자우편 2
사칭 전자우편 2
사칭 전자우편 3
사칭 전자우편 3
사칭 전자우편 4
사칭 전자우편 4
사칭 전자우편 5
사칭 전자우편 5
사칭 전자우편 6
사칭 전자우편 6
사칭 전자우편 7
사칭 전자우편 7
사칭 전자우편 8
사칭 전자우편 8

yklee@heraldcorp.com