“태영호 의원실 비서입니다” 메일...북한 해킹 조직 ‘김수키’였다
국내 외교 안보 전문가 892명에 메일 보내 정보 탈취 노려
2014년 한수원 공격 전력...13곳 서버 마비시킨 뒤 돈 뜯기도
입력 2022.12.25 10:19
북한의 해킹 조직 '김수키'가 지난 5월 태영호 의원실을 사칭해 보낸 메일(왼쪽). 이들은 악성 프로그램 설치를 유도하거나 피싱 사이트로 접속을 유도해 개인 정보를 빼갔다. /경찰청
‘안녕하세요 태영호 의원실 비서입니다. 어제 세미나를 위해 함께 해주셔서 정말 감사했습니다. 사례비지급의뢰서를 작성해주신 후에 회신해주시면 감사하겠습니다.’
지난 5월 태영호 국민의힘 의원실 비서로 사칭해 이같은 메일을 보낸 일당이 북한 해킹조직인 이른바 ‘김수키(Kimsuky)’로 나타났다. 이들은 지난 4월에는 제20대 대통령직 인수위원회 출입기자를, 지난 10월에는 국립외교원 외교안보연구소를 사칭한 메일을 국내 외교·통일·안보·국방 전문가 892명에게 보냈다. 국내 민감 정보를 빼내려고 이 같은 시도를 벌인 것으로 알려졌다.
25일 경찰청 국가수사본부는 사칭 메일을 수사한 결과 지난 2014년 한국수력원자력을 해킹하는 등 수년에 걸쳐 국내 해킹을 벌여온 북한 특정 조직의 소행으로 확인됐다고 밝혔다. 특히 이들은 일부 피해자들의 컴퓨터를 마비시키고 돈을 요구하는 ‘랜섬웨어’ 프로그램을 유포했는데 북한 해킹조직이 우리나라 국민과 기업을 상대로 랜섬웨어를 유포한 사실이 확인된 건 이번이 처음이다.
김수키는 무차별적 해킹을 통해 확보한 26개국 326대의 서버 컴퓨터를 통해 IP 주소를 세탁했다. 국내의 피해 서버는 총 87대다. 이들은 세탁한 IP주소로 국회의원실이나 기자, 정부 기관을 사칭해 전문가들에게 메일을 보냈다. 이 메일에는 피싱 사이트로 유도하는 링크나 악성 프로그램이 첨부돼 있었다.
이같은 메일을 받은 국내 외교·통일·안보·국방 전문가 892명 중 49명은 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했다. 이들은 대부분 대학 교수나 민간 연구기관 연구원이었다. 이들 중에 국가 기관 공무원은 없었다고 경찰은 밝혔다. 김수키는 피해자들의 이메일을 실시간으로 들여다보며 주소록과 첨부 문서를 빼간 것으로 드러났다.
김수키는 국내 일부 업체의 서버를 공격한 뒤 돈을 뜯어내기도 했다. 이들은 자신들이 장악한 서버 일부를 마비시킨 뒤 풀어주는 대가로 13곳 업체에 돈을 요구했다. 이중 2곳은 비트코인으로 약 255만원 가량을 지불하기도 했다. 경찰 관계자는 “북한이 돈을 요구하는 랜섬웨어를 유포한 사실이 국내에서 확인된 건 이번이 처음”이라고 밝혔다.
경찰은 이번 사건을 북한 정찰총국이 통제하는 해킹 조직 ‘김수키’의 소행이라고 판단했다. 김수키는 2014년 한수원 해킹 사건, 2016년 국가안보실 사칭 이메일 발송 등을 벌인 조직이다. 경찰은 이들 사건과 공격 근원지의 IP주소, 경유지 침입·관리 수법, 악성 프로그램 특징 등을 비교한 결과 유사점이 많다고 봤다. 경찰 관계자는 “백신의 북한 표현인 ‘왁찐’ 등을 인터넷에 검색한 기록 등을 볼 때 북한의 소행으로 보고 있다”고 말했다.
경찰은 공격 대상이 된 피해자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했다. 경찰은 앞으로 북한의 사이버 공격 시도가 지속할 것이라고 보고 전산망 접근통제, 이메일 비밀번호 주기적 변경 등 보안 설정을 강화해야 한다고 당부했다.
'對北 관련 자료' 카테고리의 다른 글
| 주호영 “北무인기 서울 침투 충격…우리가 철저히 당했다” (0) | 2022.12.27 |
|---|---|
| 대담한 북한군 무인기 침투 도발, 구멍 뚫린 대응능력 (0) | 2022.12.27 |
| 북한, 65번째 미사일 도발, 북 내부 무슨 변화있나? (0) | 2022.12.19 |
| 왜 한국 핵우산 실질적 강화로 워싱턴 분위기 급변하고 있나? (0) | 2022.12.11 |
| 北 IT인력, 국적-신분 속여 국내 기업 취업 시도 (0) | 2022.12.09 |