스마트이미지 제공언론사 기자와 국회의원실 비서 등을 사칭해 이메일을 보내고 피해자들의 전자우편을 실시간으로 감시하는 등의 일을 벌인 이들이 북한의 해킹조직인 것으로 드러났다.
경찰청 국가수사본부 사이버수사국은 지난 4월 제20대 대통령직 인수위원회 출입기자를 사칭하고 다음달 태영호 국회의원실 비서를 사칭한 이메일, 올해 10월 국립외교원을 사칭한 이메일 등을 수사한 결과, 북한의 특정 해킹조직의 소행으로 확인됐다고 25일 밝혔다.
지난 4월부터 수사에 착수한 경찰은 해당 조직이 2013년부터 파악된 북한의 특정 해킹 조직과 동일한 일당인 것으로 보고 있다.
해당 북한 해킹조직은 우선, 사칭 이메일을 보내기 위해 국내외 무차별 해킹을 통한 서버 컴퓨터 장악에 나섰던 것으로 파악됐다. 수사기관의 추적을 피하고자 해당 서버를 아이피(IP) 주소 세탁용 경유지로 이용했다. 그렇게 사용한 서버 컴퓨터가 26개국 326대(국내 87대)였다.
조직은 해킹으로 확보한 서버로 IP주소를 세탁했고, 이후 기자와 국회의원실 직원 등을 사칭해 외교·통일·안보·국방 전문가 892명에게 이메일을 보냈다. 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 이메일을 발송한 것이다.
사진공동취재단실제 포털 사이트와 유사한 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 외교·통일·안보·국방 분야의 피해자는 총 49명인 것으로 확인됐다. 북한 해킹조직은 이들의 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 갔다고 한다.
수사 결과, 북한 해킹조직이 금품 요구 악성 프로그램인 일명 '랜섬웨어'를 유포한 사실도 국내 최초로 확인됐다. 확인된 피해 규모는 국내 13개 업체의 서버 19대다.
해킹조직은 장악한 서버 중 일부를 랜섬웨어에 감염시켜 금전을 요구(통상 130여만원)했고, 실제 이들 조직에 금전을 건넨 기업도 있는 것으로 파악됐다.
경찰은 북한발의 소행으로 밝혀진 2014년 '한국수력원자력 해킹 사건'과 2016년 '국가안보실 사칭 전자우편 발송사건'과 비교해볼 때 당시 사건을 저질렀던 북한 해킹조직이 또다시 이번 사건의 배후인 것으로 판단했다.
△공격 근원지의 아이피(IP) 주소 △해외 사이트의 가입정보 △ 경유지 침입․관리 수법 △악성 프로그램의 특징 등이 같을 뿐 아니라 △ 북한어휘를 사용하는 점 △범행대상이 외교·통일·안보·국방 전문가로 일관됐다는 점이 판단 근거다.
경찰청은 피해자와 소속 기업에 피해 사실을 통보하고, 한국인터넷진흥원 및 백신업체와 협력해 피싱 사이트를 차단했다고 밝혔다.
경찰청 관계자는 "북한의 이런 시도가 앞으로도 지속할 것으로 예상한다"며 "전산망에 대한 접근통제, 전자우편 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화해야 한다"고 밝혔다.