북한 해킹 조직 ‘김수키’가 태영호 국민의힘 의원실 비서를 사칭해 보낸 메일 내용. 경찰청 제공.
“안녕하세요. 태영호 의원실 비서입니다. 바쁘신 중에도 저희 세미나를 함께 해주셔서 감사했습니다. 사례비지급의뢰서를 작성해 회신해주시면 감사하겠습니다.”
올 5월 태영호 국민의힘 의원실 비서를 사칭해 메일을 보낸 일당이 북한 해킹조직인 ‘김수키’(Kimsuky)로 드러났다.
경찰에 따르면 이들은 4~10월 태 의원실 비서 외에도 제 20대 대통령직 인수위원회 출입기자, 국립외교원 관계자 등으로 속여 모두 892명에게 악성 프로그램 등이 담긴 메일을 보냈다. 이들은 국내 정보 수집을 위해 이같은 시도를 한 것으로 전해졌다.
실제 세미나 이름대며 “사례비 지급하겠다”
경찰청 국가수사본부는 이들이 2014년 한국수력원자력 해킹, 2016년 국가안보실 사칭 메일 발송 사건 등을 벌인 조직과 같은 조직이라고 보고 있다.
△공격 근원지 아이피(IP) 주소 △해외 사이트 가입 정보 △경유 서버 침입 및 관리 수법 등이 동일하고 범행 과정에서 북한 어휘를 사용하는 점과 범행 대상이 외교, 안보 전문가 등으로 일관된 점을 근거로 이같은 결론을 내렸다.
수사결과, 메일을 받은 외교안보 전문가 892명 중 49명이 피싱 사이트에 접속해 아이디와 비밀번호 등을 입력했다. 해킹 조직은 이들 피해자의 송수신 메일을 실시간으로 감시해 첨부 문서와 주소록 등을 빼갔다.
경찰 관계자는 “악성 프로그램을 다운받도록 하거나 피싱 링크를 포털 사이트 로그인 화면처럼 꾸며 로그인을 하도록 유도해 아이디와 비밀번호를 탈취하는 방식을 사용했다”며 “이를 바탕으로 사용자의 메일을 실시간 감시해 정보를 빼간 것”이라고 했다.
피싱 조직은 사칭 메일에 실제 개최된 세미나를 명시하는 등 치밀함을 보였다. 경찰은 올해 5월 태 의원실에서 개최한 ‘윤석열 시대 통일정책 제언’ 행사에 참석한 전문가들의 명단을 입수한 것으로 보고 있다. 태 의원실 관계자는 “세미나 이후 보도자료 등을 통해 참석자를 쉽게 파악할 수 있었을 것“이라며 “실제 세미나에 참석한 전문가들에게 20~25만 원 상당의 사례비가 지급되는데, 이 점을 노려 사칭 메일을 작성한 것으로 보인다”고 말했다.
또 사례비 지급 내용과 함께 “발언한 취지를 A4 용지 1장으로 요약해서 보내주면 회의 증빙으로서 큰 도움이 되겠다”는 문구도 포함돼 회의 내용을 파악하려 시도한 정황도 드러났다.
북한 해킹 조직 ‘김수키’ 범행 수법 개요. 경찰청 제공.
기업 등에 랜섬웨어 통해 금전 요구도
범행 과정에서 ‘랜섬웨어’ 프로그램을 유포해 금전을 요구한 정황도 밝혀졌다. 랜섬웨어는 컴퓨터를 해킹에 중요 데이터에 암호를 걸고 사용하지 못하게 한 뒤 금전을 요구하는 수법이다. 북한 해킹조직이 우리나라 국민 또는 기업을 상대로 랜섬웨어를 유포한 사실이 드러난 건 이번이 처음이다.
김수키는 해킹을 통해 확보한 26개 나라 326대 서버 컴퓨터를 IP 주소 세탁을 위한 ‘경유지’로 활용했다. 이렇게 세탁된 IP 주소로 전문가들에게 메일을 보냈다. 이 과정에서 장악한 서버 중 일부에 랜섬웨어를 감염시켜 금전을 요구했다. 경찰에 따르면 국내 중소업체 13곳이 피해를 입었으며 이중 2곳이 가상화폐 계좌를 통해 돈을 지불했다. 피해액은 255만 원 수준이다.
경찰은 공격 대상이 된 피해자와 소속 기업에 피해 사실을 통보하고 한국인터넷진흥원과 협력해 피싱사이트를 차단했다. 또한 관계 기관에 북한 해킹 조직의 침입 수법과 해킹 도구 등 정보를 제공해 정보보호 정책 수립에 활용할 수 있도록 했다. 경찰 관계자는 “북한의 유사한 시도가 앞으로도 지속할 것으로 예상된다“며 ”전산망 접근 통제, 이메일 암호 주기적 변경 및 2단계 인증 설정, 다른 국가로부터 접속 차단 등 보안 설정을 강화해야 한다“고 했다.
국회의원과 기자·국가기관을 사칭한 이메일을 국내 외교·안보 전문가들에게 유포한 일당이 북한 해킹 조직이였던 것으로 드러났다.
25일 경찰청 국가수사본부에 따르면 북한은 지난 4~10월 사이 발송된 제20대 대통령직 인수위원회 출입기자 사칭 이메일', '태영호 국회의원실 비서 사칭 이메일', '국립외교원 사칭 이메일' 사건 등에 대해 수사한 결과 이같은 피싱 이메일을 보낸 것은 북한 해킹조직이었다.
이 조직은 외교·통일·안보·국방 전문가 892명에게 이메일을 보내 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부파일을 전송했다. 해당 메일을 받은 이들 중 49명이 실제로 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력했다. 북한 해킹 조직은 이들의 송·수신 전자우편을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼냈다.
경찰은 이 해킹 조직이 국내외 무차별 해킹을 통해 26개국 326대(국내 87대)의 서버 컴퓨터를 장악해 사이버테러를 위한 기반을 확보하고, 이를 수사기관의 추적을 회피하기 위한 아이피(IP) 주소 세탁용 경유지로 이용한 것으로 보고 있다.
또 북한 해킹 조직은 쇼핑몰 등 국내 중소기업체에 랜섬웨어를 유포한 사실도 드러났다. 이들은 13개 업체들의 서버를 감염시켜 마비시킨 뒤에 금전을 요구했다. 피해 업체 중 두곳은 총 255만원 상당의 비트코인을 이 조직에 상납했다.
경찰은 이번 사이버 공격이 과거 국내외 민간 보안업체 사이에서 '김수키'(Kimsuky)로 불린 해킹 조직일 가능성이 크다고 추정한다. 범행대상과 수법·공격 근원지의 IP 주소를 분석한 결과다. 이 조직은 2014년 한국수력원자력 해킹 사건과 2016년 국가안보실 사칭 이메일 발송 사건을 주도했다.
경찰청 관계자는 "앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지·추적함과 동시에 관계기관과 긴밀히 협력해 피해 방지를 위해 노력할 계획"이라고 강조했다.