북한 해킹조직이 한국의 외교안보 분야 전문가들을 겨냥해 정보를 빼내기 위한 ‘피싱 메일’을 대량 유포한 정황이 드러났습니다. 북한의 교묘한 수법은 외교안보 분야 의사결정권을 갖는 고위 공무원이나 정치인들을 위협하는 수단이 될 수 있다는 경고도 나옵니다. 서울에서 김환용 기자가 보도합니다.
한국 경찰청은 지난 2014년 한국수력원자력을 해킹한 북한 조직이 최근 기자와 국회의원 등을 사칭해 외교안보 분야 전문가들에게 이른바 ‘피싱 메일’을 대량 유포한 정황을 공개했습니다.
경찰청에 따르면 지난 4월 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보와 통일, 국방 전문가들에게 무작위로 발송됐습니다.
5월엔 국민의힘 태영호 국회의원실 비서 명의로, 이어 10월엔 한국 외교부 산하기관인 국립외교원을 사칭한 메일이 뿌려졌습니다.
메일을 받은 해당 분야 전문가는 최소 892명인 것으로 파악됐습니다.
메일에는 피싱 사이트로 유도하는 링크나 정보 유출 기능의 악성 프로그램이 담긴 문서가 첨부돼 있었습니다.
한국의 사이버 보안업체인 이스트시큐리티 문종현 이사입니다.
[녹취: 문종현 이사] “컴퓨터에 어떤 악성 프로그램을 유포하는 기반의 공격을 피싱이라고 많이 쓴다 그리고 이메일용으로 보내는 형태가 많아서 이메일로 악성 파일을 보낸다거나 어떤 클릭을 할 수 있는 URL주소를 첨부해서 보내는 방식을 가장 많이 쓴다고 보시면 될 것 같아요.”
경찰청에 따르면 해커들이 보낸 피싱 사이트는 네이버와 다음 등 한국의 대표적인 포털사이트와 구별이 되지 않을 정도로 정교하게 만들어졌습니다.
메일을 받은 전문가 가운데 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 현재까지 49명으로 잠정 집계됐습니다.
이들은 대부분 민간기관 연구원이나 학계 교수들이었습니다.
경찰청은 “해커들이 표적으로 삼은 이들의 전자우편을 실시간 감시하며 이들이 학회에서 발표하거나 관련 단체에서 세미나를 할 내용 또는 이들과 연락을 주고받는 주소록을 가져갔다”고 밝혔습니다.
해커들은 또 추적을 피하기 위해 인터넷 프로토콜, 즉 IP 주소를 세탁하고 26개국 326대의 경유지 서버를 동원했습니다.
문종현 이사는 해커들의 수법이 정교하고 치밀하기 때문에 당하는 사람이 해킹을 당했는지 조차 알지 못한다고 말했습니다.
지난 4월 피해 기자 소속 언론사의 신고를 접수한 경찰은 일련의 사건이 동일 해커의 소행일 가능성이 크다고 보고 수사에 들어갔고, 그 주체로 북한 해킹조직을 지목했습니다. 2014년 한국수력원자력 해킹 사건과 국가안보실 사칭 이메일 발송 사건 등의 범행 주체로 지목된 같은 조직의 소행이라는 겁니다.
이 같은 판단은 공격 근원지 IP 주소와 해외 사이트 가입 정보, 경유지 침입과 관리 수법, 북한 어휘 사용 등의 정황, 그리고 범행대상이 외교, 통일, 안보, 국방 전문가라는 점 등에 따른 결론이었습니다.
한국 경찰은 국내외 민간 보안업체에서 일명 '김수키(Kimsuky)' 등으로 이름 붙여진 북한의 특정 해킹조직을 여러 차례 수사한 경험이 있습니다.
경찰청은 또 태영호 의원실이 연루된 사건과 관련해선 태 의원실에서 ‘윤석열 정부의 대북정책 제언 토론회’를 진행한 다음날인 지난 5월7일 북한 해킹조직이 국내 외교안보 전문가들에게 보낸 사례비 지급 관련 메일에 컴퓨터를 장악하고 정보를 유출하는 기능의 악성 프로그램이 들어 있었던 것으로 파악했습니다.
북한 외교관 출신으로 한국에 망명한 태 의원은 25일 기자회견을 갖고 북한 해킹부대가 틈만 나면 자신의 핸드폰과 컴퓨터, 노트북 등을 해킹해 왔다며 북한 정권을 성토했습니다. 태영호 의원입니다.
[녹취: 태영호 의원] “저도 북한 피싱 메일을 보면서 그 정교함에 깜짝 놀랐습니다. 이번 사건을 통해 김정은 정권이 저의 일거수일투족을 24시간 스토킹하고 있다는 사실이 또다시 입증되었습니다.”
태 의원은 그러면서 “이런 식의 협잡은 더 이상 통하지 않을 것이라고 김정은에게 경고한다”고 말했습니다.
한국 정부 산하 국책연구기관인 통일연구원 조한범 박사는 북한 해킹으로 추정되는 사례들을 종종 경험한다고 밝혔습니다.
[녹취: 조한범 박사] “특히 전문가들 경우엔 정세분석이나 국가 보고서에 관여하는 경우가 많기 때문에 대외비 같은 경우는 엄격한 절차가 준수되지만 그러나 일반적으로 오고 가는 메일에서도 사실 비밀이 생성될 수 있거든요. 전문가들을 중심으로 한 국가기관, 일반인, 전문가들 간 콘텐츠들을 분석하면 대남 동향, 북한에 대한 한국의 정세 인식 이런 것들을 알 수 있거든요.”
탈북민 출신의 NK지식인연대 김흥광 대표는 북한 사이버부대 ‘121국’이 외교, 통일, 안보 분야 종사자나 북한 인권운동가, 탈북민들을 대상으로 정보 탈취활동을 하는 해킹조직이라면서 각종 정보 수집과 함께 해당 분야 인간관계망을 파악해 공작수단으로 활용할 수 있다고 말했습니다.
문종현 이사는 북한이 이런 피싱 메일 같은 수법으로 한국의 외교 안보 분야 고위 공무원이나 정치인들의 개인적 약점을 잡아 한국의 대북 또는 대외 정책의 중요한 의사결정에 개입하려 시도할 수 있다고 경고했습니다.
[녹취: 문종현 이사] “외교안보 분야 고위 공직자들, 정치인을 포함해서 많은 분들의 사생활을 염탐하고 있기 때문에 이 분들의 사생활 중에 약점이 있다면 나중엔 정치 외교 안보 분야의 사람들을 흔들기 시작할 거다, 단순히 컴퓨터 안에서만 발생하는 내 컴퓨터에 있는 파일 하나 가져가고 내 이메일 하나 염탐하는 수준을 넘어서고 있는 상황이고요.”
한편 경찰청은 이번 수사 과정에서 북한 해킹조직이 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 이른바 ‘랜섬웨어’도 유포한 것으로 파악했습니다.
사이버 보안이 허술한 중소 쇼핑몰 등 13개 업체들이 피해를 봤습니다.
경찰은 13곳 중 2곳은 255만원, 미화로 2천 달러 상당의 비트코인을 지불한 것으로 확인하고 비트코인 거래가 오간 해외거래소에 대한 수사를 진행 중입니다.
서울에서 VOA뉴스 김환용입니다.