윤석열 전 대통령의 비상계엄과 관련한 문건을 사칭한 전자우편이 북한 해킹 조직의 소행으로 확인됐다. 경찰청 국가수사본부 사이버테러대응과는 15일 서울 서대문구 경찰청사에서 브리핑을 열고, "2023년 12월 11일 발송된 사칭 이메일 사건 수사 결과, 북한의 소행임을 규명했다"고 밝혔다.
경찰에 따르면, 북한 해킹 조직은 개인정보 탈취를 목적으로 지난해 11월부터 올해 1월까지 총 12만6,266건의 사칭 이메일을 1만7,744명의 수신자에게 발송했다. 이메일은 계엄 문건뿐 아니라 유명 가수의 콘서트 초대장, 세금 환급, 오늘의 운세, 건강 정보 등 30여 종의 다양한 주제로 위장돼 있었다.
이 가운데 '계엄 문건'을 사칭한 이메일은 54명에게 전송됐으며, 다행히 이 유형으로 인한 피해는 확인되지 않았다. 그러나 전체 수신자 중 120명은 피싱 사이트에 접속해 계정 정보를 입력했으며, 이로 인해 이메일 보관함과 연락처 등 개인정보가 유출된 것으로 나타났다.
해킹 조직은 이메일 주소를 공공기관이나 지인 주소처럼 위장하고, 링크를 클릭하면 포털 사이트로 위장한 피싱 페이지로 연결되도록 했다. 사용자는 해당 페이지에서 로그인 시도 시 아이디와 비밀번호 등 계정 정보가 고스란히 해킹 조직에 전달되는 구조였다.
경찰은 이번 공격이 기존과 달리 자동화된 대량 발송 프로그램을 활용한 점에 주목했다. 해당 프로그램은 수신자의 메일 열람 여부, 피싱 사이트 접속 여부, 계정 정보 입력 여부 등을 실시간으로 파악할 수 있었으며, 총 15대의 국내 서버를 해외 업체를 통해 임대한 뒤 공격에 이용한 것으로 드러났다.
서버를 압수해 분석한 결과, 사칭 메일을 통해 접속한 사용자 중 120명이 실제로 계정 정보를 입력해 탈취당한 것으로 확인됐다. 다만 통일, 안보, 국방, 외교 등 민감한 정보 유출이나 금전적 피해는 아직까지 파악되지 않았다.
경찰은 수신자 중 해당 분야 전문가들이 포함돼 있었던 점, 사용된 서버가 과거 북한발 공격에 활용된 사례가 있는 점 등을 종합해 이번 사건의 배후를 북한으로 결론지었다. 다만 라자루스나 김수키 등 기존의 북한 해킹 조직과의 직접적인 연관성은 명확히 드러나지 않았다.
또한 IP 주소가 중국 랴오닝성 등 북한과의 접경 지역에 할당돼 있었고, 서버 내 수집 정보에는 탈북자와 군 관련 자료가 포함돼 있었으며, 내부 인터넷 검색 기록에서는 북한식 어휘 사용도 확인됐다. 예를 들어 '포트(port)'는 '포부', '페이지(page)'는 '페지', '디스플레이 출력'은 '현시' 등으로 표현돼 있었다.
경찰 관계자는 "출처가 불분명한 이메일은 열람하지 말고, 첨부파일이나 링크 클릭을 삼가는 등 기본적인 보안 수칙을 철저히 지키는 것이 중요하다"며 "정기적으로 접속 이력을 확인해 계정 보안을 강화할 필요가 있다"고 당부했다.
▶ 기사제보 및 보도자료 press@cdaily.co.kr
- Copyright ⓒ기독일보, 무단전재 및 재배포 금지
