북한의 대표 해킹조직 '김수키(Kimsuky)'의 공격 대상이 전방위로 확대되고 있다. 안보 분야 정보 탈취를 넘어 일반인들의 '가상자산'에까지 눈독을 들이고 있다. 외화벌이에 혈안이 된 북한의 어려운 경제사정을 대변한다는 분석도 나온다.
21일 경찰에 따르면, 경찰청 국가수사본부는 지난해 '국회의원실·기자 사칭 이메일 발송사건'을 추가 수사한 결과, 김수키가 올 들어 공격 대상을 넓혀 악성프로그램이 담긴 사칭 메일을 지속적으로 발송하고 있다는 사실을 확인했다. 경찰이 확인한 메일 계정 탈취 피해자는 1,468명에 이른다. 여기엔 전직 장관 등 외교·통일·국방·안보분야의 전·현직 공무원 등 전문가 57명이 포함됐다.
눈에 띄는 부분은 회사원, 자영업자 등 다양한 직군의 일반인들도 해킹 먹잇감이 됐다는 점이다. 정보 빼돌리기뿐 아니라 가상자산 등 금전 탈취가 해킹 목적이라는 사실이 확인된 것이다. 지난해 12월 경찰이 김수키의 해킹 범죄를 적발했을 땐 피해자 892명이 대부분 안보 전문가들이었다.
김수키는 가장 왕성하게 활동 중인 북한 해킹조직이다. 미리 파악한 특정 정보를 활용해 클릭 유도 이메일을 보내는, 이른바 '스피어(Spear·작살) 피싱'이 특징이다. 이번에도 세계 43개국의 경유서버 576개(국내 194개)를 이용해 '인터뷰 요청건' '국세고지서 납부안내' '포럼 발표 자료' 등 정부기관과 경찰, 언론사을 사칭한 이메일을 보냈다. 메일 수신자가 첨부 파일을 열면 내부 정보를 유출할 수 있는 악성프로그램이 설치되거나, 네이버 등 포털사이트나 기관 홈페이지를 그대로 본떠 만든 피싱사이트로 연결돼 계정 정보를 알아내는 수법이다.
다행히 김수키의 가상자산 탈취 시도는 미수에 그쳤다. 피해자 19명의 가상자산거래소 부정접속에는 성공했으나, 2단계 인증보안 절차에 막혀 코인을 빼돌리는 데 실패했다. 해킹으로 장악한 경유서버 174대에서 몰래 가상자산 채굴프로그램을 실행해 100만 원이 안 되는 금액을 채굴한 게 전부다.
경찰은 외교부 등 관계기관을 비롯해 미국 행정부, 유엔 등과 공동 대응에 나섰다. 경찰청 관계자는 "이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증과 일회용 비밀번호(OTP) 설정, 해외 인터넷주소 접속 차단 등 보안 설정을 강화해 추가 피해를 막아야 한다"고 당부했다