7일 경찰청 국가수사본부는 지난해 4~7월 안보 분야 주요 관계자를 대상으로 발송된 악성 전자우편 사건을 수사한 결과 북한의 해킹조직인 일명 '김수키'의 소행으로 판단했다고 밝혔다. 사진은 사건 개요도. /경찰청 제공

[더팩트ㅣ김세정 기자] 북한 해킹조직 '김수키(Kimsuky)'가 지난해 정권교체 시기에 전현직 고위공무원, 안보전문가 등 150명에게 피싱을 시도한 것으로 드러났다.

7일 경찰청 국가수사본부는 지난해 4~7월 안보 분야 주요 관계자를 대상으로 발송된 악성 전자우편 사건을 수사한 결과 북한의 해킹조직인 일명 '김수키'의 소행으로 판단했다고 밝혔다.

이들은 피싱 사이트 접속을 유도해 계정 정보를 탈취하는 악성 전자우편을 발송했다. 피해자들의 송수신 전자우편을 실시간으로 확인하고, 첨부문서와 주소록 등을 빼갔다. 국내외 총 138개 서버를 장악해 해킹 공격 기반을 마련하고 IP 주소를 세탁했으며 수사기관의 추적을 피하고자 기능별로 서버를 구분하기도 했다.

경찰에 따르면 이들은 책자 또는 논문 관련 의견을 요청하거나 인터뷰, 자료를 요청하는 형식으로 전자우편을 발송한 뒤, 피해자가 회신하면 다시 답장하면서 대용량 문서 파일을 다운로드하도록 유도했다.

이후 문서 파일을 열기 위해서는 본인 인증이 추가로 필요하다며 가짜 피싱 사이트로 연결하도록 했다. 피해자가 아이디와 비밀번호를 입력하면 계정정보를 탈취하는 방식이다. 이후 목적을 달성하면 피해자에게 감사 답장을 발송하는 등 의심을 거두기도 했다.

피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 총 9명이다. 경찰이 연락하기 전까지 악성 전자우편을 받은 사실을 인지하지 못한 이들도 있었다.

경찰은 △공격에 사용한 아이피 주소 △경유지 구축 방법 △북한식 어휘 문구 △공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 김수키의 소행으로 판단했다.

경찰청은 국가정보원(국가사이버안보센터)와 사이버 위협정보 공유를 통해 이번 사건 피해를 인지했다. 수사에 최초로 착수했던 제주경찰청 첨단안보수사계와 경찰청 안보수사국, 국정원은 5800여 개 전자우편 분석과 추적 수사를 진행했으며 피해보호 조치도 완료했다.

경찰청은 안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 계속될 것으로 보고 있다. 전자우편 비밀번호 주기적 변경과 본인 인증 설정 강화, 해외접속 차단, 의심스러운 전자우편 재확인 등 보안조치 강화를 당부했다.

경찰청 관계자는 "앞으로도 국가안보에 위협이 되는 사이버 공격 동향과 대응 사례를 관계기관과 적극 공유하는 한편, 북한 해킹조직의 불법 사이버 활동에 대한 선제 대응을 강화할 계획"이라고 밝혔다.

sejungkim@tf.co.kr