8년 전 한국수력원자력을 해킹한 북한 조직이 기자, 국회의원실, 공공기관을 사칭해 국내 외교·안보 분야 전문가 등 수백명에게 ‘피싱 메일’을 보낸 정황이 드러났다.

25일 경찰청 국가수사본부 사이버수사국에 따르면 올 4월 28일 제20대 대통령직 인수위원회 출입기자를 사칭한 이메일이 외교안보·통일·국방 전문가들에게 무작위로 발송됐다.

5월 7일에는 국민의힘 태영호 국회의원실 비서 명의로, 10월 26일에는 국립외교원을 사칭한 메일이 뿌려졌다. 메일을 받은 해당 분야 전문가는 최소 892명에 달했다.

메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 첨부 파일이 포함돼있었다.

피싱 사이트는 네이버와 다음 등 포털사이트와 구별이 되지 않을 정도로 정교하게 만들어졌다고 경찰은 전했다.

메일을 받은 전문가 가운데 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 현재까지 49명으로 잠정 집계됐다. 피해자 대부분은 대학 교수나 민간 연구원이며 국가기관 소속 연구자는 없는 것으로 확인됐다고 경찰은 밝혔다.

해커들은 이들의 송·수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 북한 해커들은 추적을 피하고자 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대의 경유지 서버를 동원하는 치밀함도 보였다.

경찰은 국내외 민간 보안업체에서 일명 '김수키(Kimsuky)' 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했던 경험이 있다.

해당 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 '랜섬웨어'도 유포한 것으로 파악됐다. 북한 해킹조직이 랜섬웨어를 활용한다는 사실이 드러난 건 이번이 처음이다.

경찰청 사이버테러수사대는 "북한 해킹조직이 피해자에 금전을 요구한 이메일 가상 주소를 추적하는 동시에 비트코인 해외 거래소에 대한 수사도 진행 중"이라고 말했다.

경찰은 공격 대상이 된 당사자와 기업에 피해 사실을 통보한 뒤 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했다.

이규봉 경찰청 사이버테러수사대장은 “전자우편 암호를 주기적으로 변경하고 2단계 인증을 설정하며, 다른 국가로부터의 접속을 차단하는 등 계정 관리를 철저히 해달라”고 하며 보안 설정의 강화를 당부했다.

김 · 성 · 일 <취재기자>