"교수님, 코멘트 좀" 연구원 사칭 메일··· 北 해킹조직 '김수키' 소행이었다

입력
2023.06.07 11:59
안보전문가 150명 대상 '피싱' 메일 
9명 외교 자료·주소록 등 유출 피해

외교ㆍ안보 전문가인 국립대 A 교수는 윤석열 정부가 출범한 지난해 5월 메일 한 통을 받았다. 자신을 모 연구소 소속 연구원으로 소개한 발신인은 ‘미국의 외교 정책과 우리의 대응방향’을 주제로 보고서를 쓰고 있다며 코멘트를 요청했다. A 교수가 동의하자, 곧장 보고서가 첨부된 답장 메일이 왔다. 보고서 파일을 클릭하니 포털사이트 구글 로그인 화면이 떴고, 그는 별다른 의심 없이 접속했다. 그러나 해당 사이트는 해킹조직이 교수 아이디와 비밀번호를 알아내기 위해 만든 ‘가짜’였다. 해커는 그의 이메일을 실시간 감시하면서 각종 자료와 주소록 등을 빼갔다.

지난해 4~7월 국내 외교ㆍ안보분야 전문가들에게 이런 ‘피싱 메일’을 보낸 일당이 북한 정찰총국 산하 해커그룹 ‘김수키(Kimsuky)’로 확인됐다고 경찰청 국가수사본부가 7일 밝혔다. 김수키는 2014년 한국수력원자력을 해킹해 원자력발전소 도면 등을 빼돌린 사건으로 존재가 드러난 북한 조직이다. 미리 파악한 특정 정보를 활용해 클릭 유도 이메일을 보내는, 이른바 ‘스피어(Spearㆍ작살 피싱)’ 방식을 주로 쓴다.

김수키는 이번에도 국내외 138대 서버 컴퓨터를 거쳐 인터넷주소(IP)를 세탁했다. 이후 전ㆍ현직 고위공무원과 대학교수, 전문가 150명에게 교수나 연구원, 기자 등 다양한 직함을 사칭해 메일을 보냈다. 교수ㆍ연구원으로 포장했을 땐 책자 발간이나 논문 관련 의견을 요청했고, 기자 명의로는 인터뷰, 자료 등을 부탁하는 수법을 쓴 것으로 확인됐다. 대상자가 메일에 첨부된 보고서 파일을 누르면 포털사이트 로그인 페이지가 뜨는데, 여기에 접속할 경우 아이디와 비밀번호를 빼가는 구조였다.

북한 해커들의 가짜 이메일에 속아 외교 자료 등 개인정보를 유출한 피해자는 9명으로 파악됐다. 신고를 접수해 수사에 착수한 경찰은 공격 근원지 IP 주소 및 경유지 구축 방법 등을 근거로 김수키 소행으로 결론 냈다. 수사 과정에서 해커들이 ‘봉사기(서버)’ ‘랠(내일)’ ‘적중한 분(적합한 분)’ 등의 북한 용어를 사용한 흔적도 포착됐다. 경찰 관계자는 “안보분야 관계자를 표적 삼은 북한의 해킹 시도는 계속될 것”이라며 “메일 비밀번호를 주기적으로 변경하는 등 개인보안 조치를 강화해야 한다”고 당부했다.

박준석 기자
세상을 보는 균형, 한국일보 Copyright © Hankookilbo