경찰청 국가수사본부는 21일 북한 해킹조직 김수키가 1468명의 이메일 계정에 접속해 주소록과 내용 등을 확인하고 개인정보를 빼간 것을 확인했다고 밝혔다. /김세정 기자

[더팩트ㅣ최의종 기자] 북한 해킹조직 '김수키'(Kimsuky)가 이메일을 해킹해 가상자산을 빼앗으려 한 것으로 나타났다. 공격 대상이 전직 장관부터 공무원, 일반인까지 전방위 확대됐다.

경찰청 국가수사본부는 21일 북한 해킹조직 김수키가 1468명의 이메일 계정에 접속해 주소록과 내용 등을 확인하고 개인정보를 빼간 것을 확인했다고 밝혔다. 피해자 중에는 전직 장관 등 외교·통일·국방·안보 분야 전·현직 공무원 57명도 포함됐다.

경찰에 따르면 김수키는 기자와 국민건강보험, 국민연금공단 등을 사칭해 안내문·질의서 등 내용이 담긴 이메일을 보냈다. 이메일에 첨부된 파일을 이용해 악성 프로그램이 설치되게 하거나, 인터넷주소(URL)를 눌러 '피싱 사이트'를 유포하는 방식으로 개인정보를 빼갔다.

김수키는 지난해 4~10월에도 같은 수법으로 해킹을 시도했다. 지난해 피해자는 49명으로 외교·통일·안보·국방 분야 전문가들이었다. 그러나 이번에는 피해자가 약 30배 늘었고 공격 대상도 일반인까지 확대됐다.

경찰은 공격 대상이 확대된 이유로 가상자산을 노리는 점을 꼽았다. 경찰은 "지난해에는 랜섬웨어를 통해 공갈 범행만 확인됐다면 올해는 피싱 사이트를 통해 부정 접속한 흔적을 확인했다"며 "이를 통해 가상자산을 확보하려 한 것으로 보인다. 147대 가상자산 채굴 프로그램 운용 사실도 확인했다"고 설명했다.

김수키는 가상자산을 빼앗기 위해 해킹으로 빼낸 개인정보를 이용, 총 19회에 걸쳐 가상자산 거래소에 부정 접속했다. 다만 가상자산을 송금하려면 휴대전화 인증번호가 필요해 미수에 그친 것으로 드러났다.

김수키가 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 상당을 채굴한 사실도 파악됐다. 초기 단계라 횟수가 많지 않고 채굴 자체가 쉽지 않아 큰 피해는 발생하지 않았다는 게 경찰 설명이다.

경찰 관계자는 "피해자들에게 이메일 보안 조치를 권고하고 한국인터넷진흥원과 협력해 해킹조직이 운영하는 피싱 사이트를 차단하도록 했다"며 "추가 피해가 발생하지 않도록 이메일과 가상자산 거래소 계정의 비밀번호를 주기적으로 변경하고 보안 설정을 강화해달라"고 당부했다.

bell@tf.co.kr