[더팩트ㅣ김영봉 기자] 북한 해킹조직이 방첩사 계엄 문건이라는 제목으로 이메일을 발송해 피싱 공격을 벌인 것으로 드러났다. 방첩사 계엄 문건 뿐만 아니라 콘서트 초대장, 세금 환급, 운세 등 허위내용을 대거 발송해 120명이 피해를 입었다.
경찰청 국가수사본부(국수본) 사이버테러대응과는 지난해 12월11일 '방첩사 작성 계엄 문건 공개'라는 제목의 이메일 사건을 수사한 결과, 북한 소행으로 규명됐다고 15일 밝혔다.
경찰 조사 결과 북한 해킹조직은 지난해 11월부터 지난 1월까지 1만7744명에게 총 12만6266건의 사칭 메일을 보냈다. 이 중 7771명이 메일을 열람했고, 120명은 메일에 포함된 링크를 클릭, 피싱 사이트에 접속한 뒤 아이디와 비밀번호를 입력해 개인정보가 유출됐다.
사칭 메일의 형식은 방첩사 계엄 문건 외에도 북한 신년사 분석, 유명 가수 콘서트 초대장, 세금 환급, 건강정보, 운세 등 30종으로 다양했다. 링크를 클릭하면 로그인 요구를 가장한 피싱 사이트로 연결되는 방식이다.
경찰은 "정보가 유출된 120명에게 직·간접적으로 피해사실을 알렸다"며 "정보 탈취 외 금전 피해는 확인된 게 없다"고 설명했다.
경찰은 기존 북한발 해킹에 사용된 서버를 재활용했고, 통일·안보·외교 분야 인물을 대상으로 메일이 발송됐으며, 중국과 북한 접경 IP를 사용한 점 등을 이유로 북한 해킹조직의 범행으로 결론냈다. 항구(port)를 '포구'로 동작을 '기동'으로 표현하는 등 북한식 어휘가 다수 포함된 인터넷 검색기록도 확인됐다.
공격에 사용된 서버는 해외에서 임대한 15대로, 자체 제작한 프로그램을 통해 메일 발송부터 열람 여부, 피싱 사이트 접속 여부 등 통계까지 실시간 파악이 가능했던 것으로 나타났다.
경찰청 관계자는 "발신자가 불분명한 메일의 열람 및 클릭을 자제하고, 로그인 정보 입력 전에는 반드시 주소를 확인해야 한다"며 "또 계정 사용 시 추가 인증이 가능하도록 2단계 인증 사용하고 해외 및 타지역 로그인은 차단하도록 보안을 설정해야 한다"고 당부했다.
kyb@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]
