"태영호 의원실입니다" 사칭 이메일 北 해킹 조직 소행이었다

악성 프로그램 첨부한 전자우편 최소 892명에 보내

경찰 관련 자료사진. 매일신문 DB

올해 4월부터 기자, 국회의원실, 국가기관으로 가장한 이메일을 유포해 민간인들을 감시하거나 랜섬웨어 공격을 벌여 금품을 뜯어낸 일당이 북한 해킹 조직이었던 것으로 경찰 수사 결과 밝혀졌다.

경찰청 국가수사본부는 올해 4~10월 발송된 '제20대 대통령직 인수위원회 출입기자 사칭 이메일', '태영호 국회의원실 비서 사칭 이메일', '국립외교원 사칭 이메일' 사건 등에 대해 수사한 결과 2013년부터 파악된 북한의 특정 해킹 조직 소행임을 확인했다고 25일 밝혔다.

이 조직은 국내외 무차별 해킹을 통해 26개국 326대(국내 87대) 서버 컴퓨터를 장악, 이를 아이피(IP) 주소 세탁용 경유지로 이용한 것으로 나타났다.

경찰에 따르면 이들은 세탁한 IP주소를 통해 국회의원실 비서나 기자 등을 사칭해 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 전자우편을 최소 892명의 외교·통일·안보·국방 전문가에게 보낸 것으로 드러났다.

이 가운데 49명은 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 것으로 확인됐다. 해킹조직은 이들 피해자 송·수신 전자우편을 실시간으로 감시해 첨부 문서와 주소록 등을 빼낸 것으로 파악됐다.

뿐만 아니라 북한 해킹 조직이 쇼핑몰 등 국내 중소기업체를 상대로 악성 프로그램, 즉 랜섬웨어를 유포한 사실도 경찰 수사에서 처음 확인됐다. 이들은 13개 업체들의 서버를 감염시켜 장악한 뒤 금전을 요구했는데, 이렇게 해 2개 업체로부터 총 255만원 상당의 비트코인을 뜯어낸 것으로 조사됐다.

경찰청 관계자는 "북한의 이러한 시도가 앞으로도 지속할 것으로 예상되므로 전산망에 대한 접근통제, 전자우편 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부한다"며 "앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적함과 동시에 관계기관과 긴밀히 협력해 피해 방지를 위해 노력할 계획"이라고 밝혔다.