출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=112954&page=1&kind=1

교수 등 피해자 49명 메일 감시, 실시간으로 첨부문서와 주소록 탈취
4월 대통령직 인수위 출입기자, 5월 국회의원, 10월 국립외교원 사칭 등 북한 해킹 잇달아 발견
경찰청, 국내에서는 최초로 북한 해킹조직이 금품 요구하는 랜섬웨어 유포 사실 확인돼

[보안뉴스 김영명 기자] 경찰청 국가수사본부(사이버수사국)에서는 지난 4월 28일에 발송된 ‘제20대 대통령직 인수위원회’ 출입기자를 사칭한 악성 메일, 5월 7일에 발생한 태영호 국회의원실 비서 사칭 악성 메일, 10월 26일 국립외교원을 사칭한 악성 메일 등 3건에 대한 수사결과, 2013년부터 파악된 북한의 특정 해킹조직 소행으로 확인했다.
 

▲북한발 사칭 이메일 유포사건 개요도[자료=경찰청]

북한 해킹조직은 국내외 무차별 해킹을 통해 전 세계 26개국 326대(국내 87대 포함)의 서버 컴퓨터를 장악하며 사이버테러를 위한 기반을 확보했고, 이를 수사기관의 추적을 회피하기 위한 아이피(IP) 주소 세탁용 경유지로 이용했다.

북한 해킹조직은 IP 주소를 세탁한 뒤, 기자 및 국회의원실 등을 사칭하며 피싱 사이트로 유도하거나 악성 프로그램을 첨부한 전자우편을 외교·통일·안보·국방 전문가에게 발송했다. 이러한 사칭 메일은 최소 892명에게 발송된 것으로 파악됐다.

피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 외교·통일·안보·국방 분야 종사자 49명이 확인됐으며, 북한 해킹조직은 이들 피해자의 송·수신 메일을 실시간으로 감시하며 첨부 문서와 주소록 등을 빼내 간 것으로 파악됐다.
 

▲국회의원실(좌) 및 기자(우) 사칭 전자우편 내용[자료=경찰청]

특히, 이번 수사로 북한 해킹조직이 금품을 요구하는 랜섬웨어를 유포한 사실이 국내에서는 최초로 확인됐다. 장악한 서버 중 일부에는 랜섬웨어를 감염시켜 금전을 요구했으며, 확인된 피해 규모는 국내 13개 업체의 19대 서버다.

경찰청 등 정부 기관은 그간 국내외 민간 보안업체에서 일명 ‘김수키(Kimsuky)’ 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사한 바 있다. 또한, 이번 사건 또한 기존 북한발로 규명된 △2014년 ‘한국수력원자력 해킹 사건’ △2016년 ‘국가안보실 사칭 전자우편 발송사건’ 등과 비교했을 때 △공격 근원지의 아이피(IP) 주소 △해외 사이트의 가입정보 △경유지 침입·관리 수법 △악성 프로그램의 특징 등이 같고, △북한어휘를 사용하는 점 △ 범행대상이 외교·통일·안보·국방 전문가로 일관된 점 등을 근거로 같은 북한 해킹조직의 소행으로 판단했다.

경찰청은 피해자와 소속 기업에 피해 사실을 통보하고, 한국인터넷진흥원 및 백신업체와 협력하여 피싱 사이트를 차단했다. 이와 함께 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다.

경찰청 관계자는 “북한의 이러한 시도가 앞으로도 지속할 것으로 예상되기 때문에 전산망에 대한 접근통제, 전자우편 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정 강화를 당부한다”고 강조헀다. 이어 “경찰청은 앞으로도 치안 역량을 총동원해 조직적 사이버 공격을 탐지하고 추적하면서 관계기관과 긴밀히 협력하며 피해 방지를 위해 노력해 나아갈 계획”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]