임영웅 콘서트 초대장도 가장해
120명 개인 계정정보 탈취 피해
12·3 비상계엄 이후 ‘방첩사 작성한 계엄 문건 공개’라는 제목으로 국내에 확산된 피싱 메일의 배후에 북한이 있는 것으로 드러났다. 북한 해커 조직은 비상계엄을 비롯해 오늘의 운세, 임영웅 등 유명 가수 콘서트 초대장 등을 가장해 국내 개인정보 탈취를 시도했다.
15일 경찰청 국가수사본부에 따르면 북한 해커 조직은 지난해 11월부터 지난 1월까지 1만7744명에 피싱 메일을 12만6266회 발송했다. 그 과정에서 120명은 계정정보를 탈취당한 것으로 파악됐다.
경찰은 지난해 12월11일 발송된 방첩사 계엄 문건 피싱 메일을 수사하는 과정에서 해외 업체를 통해 임대한 서버 15대가 이용된 사실을 발견했다. 서버 기록을 분석해 보니 다른 피싱 메일이 발송된 시점과 수신자의 열람 여부, 피싱 사이트 접속 등 피해 자료를 확보할 수 있었다.
북한 해커 조직이 피싱 범죄를 위해 전송한 메일은 계엄 문건부터 오늘의 운세, 건강정보, 세금환급, 상품할인, 뉴스기사 등 30종에 달하는 내용이 담겼다. 사칭 메일·사이트 주소도 ‘go.kr’을 ‘com’으로 바꾸거나 일부 알파벳만 추가하는 등 치밀하게 범행을 꾸민 흔적이 나타났다. 피싱 메일은 수신자가 해당 메일 속 링크를 누르면 구글, 네이버, 카카오 등으로 꾸민 로그인 페이지로 연결되고, 여기에 자신의 아이디와 비밀번호를 입력하면 계정정보를 탈취당하도록 설계됐다. 계엄 문건 등 첨부파일을 누르면 악성코드가 컴퓨터에 설치됐다.
경찰은 서버를 분석하는 과정에서 북한의 소행이라는 단서를 찾았다고 밝혔다.
서버 코드의 주석, 인터넷 검색기록 등에서 북한이 사용하는 컴퓨터 용어인 포구(포트), 기동(동작), 현시(모니터 출력), 페지(페이지) 등이 발견됐고 아이피(IP) 주소도 중국 랴오닝성과 북한의 접경지역에 할당돼 있었다. 서버에선 탈북자와 군 관련 정보들을 수집한 정황도 발견됐다. 특히 이들은 통일·안보·국방·외교 분야 종사자를 주 타깃으로 메일을 보낸 것으로 나타났다. 피싱 수신자에는 기자와 연구원, 교수 등이 포함됐다.
경찰은 이번 범죄가 기존 북한의 피싱 범죄와는 수법이 다르다고 봤다. 기존에는 북한에 관심이 많은 사람들을 노리고 맞춤형 피싱을 노렸다면, 이번에는 콘서트 초대장 등 실제 있는 메일처럼 꾸며 범행을 벌였다. 경찰은 유명 해킹 조직인 라자루스나 김수키 등의 소행으로 특정할 만한 근거도 찾지 못했다.
경찰은 피싱으로 인한 피해를 예방하기 위해 발송자가 불분명한 메일을 열어보지 말 것을 당부했다. 아이디와 비밀번호 등 중요 정보를 입력하기 전에는 URL(인터넷 주소) 등을 확인해야 한다.
경찰 관계자는 “개인정보가 탈취된 120명에 피해가 통지됐고 금전 손실은 발생하지 않았다”며 “(범행에 사용된) 서버를 임대한 해외업자를 파악했고, 쉽지 않겠지만 끝까지 수사할 예정”이라고 말했다.
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]