북한 해킹조직 ‘김수키’(Kimsuky)가 국내외 약 500개 경유 서버에서 내국인 1000여명의 이메일 계정을 탈취한 것으로 나타났다. 해킹 대상으로 외교·안보 분야 공무원 등은 물론 일반인도 가리지 않았다. 이메일 내용과 아이디, 비밀번호 등 개인정보뿐 아니라 가상자산 탈취도 시도한 것으로 드러났다.
경찰청 국가수사본부는 ‘김수키’ 활동 내용을 추적·수사한 결과 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 21일 밝혔다.
전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명이 피해를 본 것으로 나타났다. 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 당했다. 지난해 해킹 당시 피해자가 49명에 불과했고, 외교·안보 분야 전문가로 국한됐지만 이번엔 달랐다. 공격 대상이 약 30배로 늘었으며 분야도 전방위적으로 확산했다.
‘김수키’는 국내외 서버 576대(43개국·국내 194대)를 경유해 IP주소를 바꾼 후 정부기관·기자·연구소 등을 사칭해 안내문이나 질의서 등 수신자가 관심을 가질만한 내용으로 위장한 피싱 이메일을 발송했다. 수신자가 이메일에 첨부된 파일을 열면 PC 내부 정보를 유출할 수 있는 악성 프로그램을 깔았다.
이러한 방법으로 아이디와 비밀번호를 가로챘고 피해자 이메일 계정에 부정 접속해 내용을 살펴보고 주소록, 첨부파일 등의 자료를 빼돌렸다. 다만 탈취된 정보 중에 기밀자료는 없는 것으로 확인됐다.
‘김수키’는 피싱 이메일에 인터넷주소(URL)를 넣어 피해자가 신뢰할 수 있는 기관이나 포털 등을 모방한 가짜 누리집으로도 접속을 유도했다.
경찰은 해킹 공격 대상이 넓어지고 수법도 고도화한 까닭은 가상자산을 노리고 있기 때문이라는 분석을 내놓았다. ‘김수키’는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속해 가상자산 절취를 시도했다. 다만 보안 절차가 까다로워 실제 가상자산을 탈취하는 데는 실패했다.
해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 미만을 채굴한 사실도 드러났다.
경찰은 외교부 등 관계기관과 미국 정부, 유엔 등과 정보를 공유·협력해 북한 해킹조직으로 인한 피해를 예방하고 있다. 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등 관련 정보도 제공하고 있다.
경찰 관계자는 “북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가적인 피해가 발생하지 않도록 인터넷 사용자의 주의가 필요하다”며 “이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증과 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해달라”고 말했다.