북한 해킹조직 ‘김수키’(Kimsuky)가 대규모 이메일 해킹을 통해 내국인 1468명의 이메일 계정을 탈취한 사실이 경찰 조사를 통해 드러났다. 이 해킹 그룹은 국내외 서버 500여 개를 경유하여 IP주소를 변경하며 국내외 서버 576대(43개국, 국내 194대)를 이용, 고도의 피싱 공격을 시행했다.
21일 경찰청 국가수사본부의 발표에 따르면, 이번 공격의 피해자는 외교안보, 국방, 통일 분야의 전·현직 공무원과 전문가 57명을 포함해, 회사원, 자영업자, 무직자 등 다양한 직군의 일반인 1411명에 달한다. 이들 중 일부는 가상자산 거래소를 이용한 사람들로, 김수키는 이들의 가상자산을 노린 것으로 보인다.
김수키는 'Navor', 'daurn' 등으로 표기된 피싱용 가짜 사이트를 제작해, 실제 포털 사이트와 유사한 모습으로 구성하여 사용자들이 속아 넘어가도록 유도했다. 피해자들이 이메일에 첨부된 파일을 열람하면 개인용 컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성 프로그램이 설치 및 실행되는 수법을 사용했다. 이메일에서 제공된 가짜 URL을 클릭하도록 유도하여 계정 정보를 탈취하는 방식도 사용했다.
경찰은 김수키가 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속을 시도했으나, 보안 절차에 막혀 실제로 가상자산을 획득하는 데는 실패했다고 밝혔다. 또한, 해킹으로 장악한 일부 서버에서 가상자산 채굴 프로그램을 관리자 몰래 실행하여 소액의 가상자산을 채굴한 사실도 확인됐다.
경찰은 추가적인 피해를 막기 위해 이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고, 2단계 인증과 일회용 비밀번호 설정, 해외 인터넷주소 접속 차단 등 보안 설정을 강화할 것을 권장하고 있다.
이번 사건은 김수키가 지난해 4월부터 10월까지 국립외교원 관계자, 대통령직인수위원회 출입기자 등을 사칭하며 통일, 외교, 안보, 국방 전문가 892명에게 악성 프로그램이 포함된 이메일을 보낸 사례와 일맥상통한다. 김수키는 2014년 한국수력원자력 원전 도면 유출, 2015년 국가안보실 사칭 이메일 발송 등과 같은 사건의 배후로 지목된 바 있는 조직으로, 북한 정찰총국이 대남 공작 업무를 총괄하는 조직으로 알려져 있다.
환경경찰뉴스 조희경 기자