북한 해커 조직이 2개월가량 ‘방첩사 작성 계엄 문건 공개’ ‘오늘의 운세’ 등의 사칭 전자우편(메일)을 12만통 넘게 유포해 개인정보 해킹을 시도한 정황을 경찰이 포착했다.

경찰 국가수사본부는 15일 브리핑을 열고 “지난해 12월 ‘방첩사 작성 계엄 문건 공개’라는 제목으로 발송된 메일을 수사한 결과 북한의 소행으로 규명했다”며 이같이 밝혔다.

 
경찰은 지난해 12월 11일 오후 1시45분쯤 ‘방첩사 작성한 계엄 문건 공개’라는 제목의 메일이 불특정 다수에게 유포된 상황을 확인하고 수사에 착수했다. 해당 메일엔 ‘여인형 방첩사령관의 지시로 작성된 이 문건엔 국회의 계엄 해제 요구 시 대통령의 거부 권한이 있는지 등을 검토한 내용이 담겨 있다’며 첨부 파일을 내려받을 것을 유도했다. 해당 첨부 파일을 다운로드하면 악성 프로그램이 실행되는 피싱 메일이었다. 과학기술정보통신부는 ‘해킹 메일이 대량 유포되고 있다’며 주의를 당부했다.

 
경찰에 따르면 북한 해커 조직은 지난해 11월부터 지난 1월까지 사칭 메일을 1만7744명을 대상으로 12만6266회 보냈다. 경찰은 수사를 통해 해당 메일을 발송하는 데 사용된 국내 서버 15대를 확보하고, 북한의 사이버 공격이 이뤄진 정황을 확인했다. 북한 측이 스팸 메일 차단 등을 피할 목적으로 해외 업체를 통해서 국내 서버 15대를 임대했다는 게 경찰 측 설명이다.

 


 
북한 측이 보낸 사칭 메일의 종류는 30여종에 달하는 등 다양했다. ‘오늘의 운세’나 경제 기사 소개, 건강 정보가 담긴 소식지, 세금 환급을 안내하는 내용 등이었다. 임영웅 등 유명 가수의 콘서트 관람권 초대장 형식을 가져온 경우도 있었다.

 
북한 해커 조직은 이런 메일에서 ‘바로 가기(링크)’를 누르도록 수신자를 유도했다. 해당 링크를 누르면 주요 포털 사이트 등을 모방한 가짜 사이트로 접속되고, 여기에 아이디와 비밀번호를 입력하게 하는 식이다.

 
경찰이 파악한 가짜 사이트의 주소(URL)는 구글이나 네이버, 카카오 등 유명 사이트의 주소에 ‘auth’ ‘login’ 등의 단어를 추가하는 형식으로 이뤄졌다. 메일을 보낸 발신자의 아이디도 ‘seoul-news’ 등 정부기관이나 지인의 아이디로 혼동하게끔 치밀하게 꾸민 것으로 파악됐다.

 
경찰은 확보된 서버 분석을 통해 북한 측의 흔적을 다수 포착했다. 해당 서버는 기존 북한발(發) 사이버 공격 당시 사용된 서버와 동일하며, 범행 근원지 아이피(IP) 주소 또한 북한과 중국의 접경지역인 랴오닝성(요령성)에 할당된 점도 확인됐다.

 

 
특히 경찰은 해당 서버 기록을 분석한 결과 인터넷 포트(port)를 ‘포구’로, 동작을 ‘기동’으로, ‘페이지(쪽)’를 ‘페지’라고 표현하는 등 다수의 북한 어휘가 사용된 점을 확인했다. 경찰 관계자는 “통일연구원 발간 자료 등을 토대로 해당 어휘들은 북한에서 사용하고 있는 것으로 파악했다”고 설명했다.

 
북한 측이 보낸 메일을 받은 1만7744명 중 120명은 아이디(ID)나 비밀번호 등을 입력해서 개인정보가 유출되는 피해를 본 것으로 조사됐다. 다만 중요 정보가 유출되지는 않았다고 한다. 경찰은 이들에 대해서 계정 보호 조치 등을 하도록 안내했다.

 
경찰은 과거엔 해커 조직이 북한 관련 업무 종사자나 국방‧외교 담당 공무원 등을 대상으로 해킹을 시도했다면, 이번엔 가짜 광고성 메일 등을 불특정 다수에게 대량으로 보낸 점에 주목하고 있다. 또한 북한 정찰총국 산하 ‘라자루스’ 등 기존에 알려진 해커 조직과의 연관성에 대해서도 수사를 진행할 예정이다.

 
경찰 관계자는 “사칭 메일로 인한 피해를 예방하기 위해선 발송자가 불분명한 메일은 열지 않거나 첨부파일‧링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다”고 강조했다.