'尹 계엄' 이후 퍼진 '계엄문건 사칭메일'은 北 소행

[서울=뉴시스]이태성 기자 = 지난해 윤석열 전 대통령의 비상계엄 이후 '방첩사 계엄 문건 공개'라는 제목으로 확산한 사칭 전자우편이 개인정보 탈취를 목적으로 한 북한의 소행이었던 것으로 경찰 조사 결과 드러났다.

경찰청 국가수사본부 사이버테러대응과는 15일 오전 서울 서대문구 청사에서 브리핑을 열고 "지난해 12월 11일 발송된 전자우편 사건을 수사한 결과 북한의 소행이었음을 규명했다"고 밝혔다.

경찰에 따르면 북한의 해킹 조직은 개인정보를 탈취할 목적으로 지난해 11월부터 올해 1월까지 1만7744명에게 총 12만6266회의 사칭 전자우편을 발송한 것으로 확인됐다.

여기에는 계엄 문건을 사칭한 전자우편 외에도 30여종 유형의 전자우편이 활용됐다. 북한의 해킹 조직은 유명가수의 콘서트 초대장이나 세금 환급, 오늘의 운세, 건강 정보 등으로 위장했다.

이 중 계엄문건을 사칭한 전자우편은 총 54명에게 발송된 것으로 조사됐다. 다만 이들 중 개인정보 탈취로 이어진 사례는 없는 것으로 확인됐다.

이러한 사칭 전자우편에는 '바로가기'(링크)가 포함돼 있어 수신자가 이 버튼을 누르면 가짜 피싱 사이트로 연결되는데, 포털 사이트로 위장한 해당 페이지에서 로그인을 시도할 경우 해당 정보가 해킹 조직에 공유되는 수법이다.

발송에 사용된 전자우편 주소는 공공기관 주소나 지인의 전자우편 주소와 유사한 형태였다. 사칭 사이트 또한 유명 사이트 주소에서 몇 글자만 수정하는 등 유사한 철자로 구성된 것으로 나타났다.

경찰 관계자는 "기존에는 소수의 특정 수신자에게 '북한의 신년사에 대한 정세 분석' 등의 내용으로 해킹을 시도하는 수법 위주였다면 이번에는 자동화 대량발송 프로그램을 공격에 활용한 것이 특징"이라고 말했다.

경찰에 따르면 공연이나 책, 건강 정보 등 실제로도 존재하는 정보를 사칭 우편메일에 사용한 것은 이번이 처음이다.

이번 사칭 전자우편 발송은 해외업체를 통해 임대한 국내 서버 15대에서 자체 제작한 전자우편 발송용 프로그램을 통해 이뤄진 것으로 조사됐다.

이 프로그램은 전자우편 발송 시점부터 수신자의 ▲메일 열람 ▲피싱 사이트 접속 ▲계정 정보 획득 여부 등을 포함한 통계자료를 한눈에 파악할 수 있는 기능도 포함하고 있었다.

경찰이 서버 15개를 압수해 조사한 결과 사칭 전자우편의 수신자 1만7744명 중 120명은 실제로 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력해 계정 정보 및 보관함에 저장된 전자우편, 연락처 정보를 탈취당한 것으로 확인됐다.

다만 이로 인해 통일·안보·국방·외교 등 민감 자료가 탈취되거나, 추가적인 금전적 피해로 이어지지는 않은 것으로 확인됐다.

경찰은 기존 북한발 사이버공격 사건에서 파악된 서버가 이번 범행에 재사용된 점, 사칭 전자우편의 수신자에 통일·안보·국방·외교 분야 종사자가 포함된 점 등을 종합해 이번 범행이 북한의 소행인 것으로 결론지었다.

다만 라자루스나 김수키 등 기존에 알려진 북한의 해킹조직과 이번 범행의 연관성은 찾지 못한 것으로 전해졌다.

경찰은 그밖에 범행지 아이피(IP) 주소가 랴오닝성 등 중국과 북한의 접경지역에 할당됐다거나 전자우편 발송을 위해 임대된 서버에 탈북자, 군 관련 정보가 수집되고 있던 점, 인터넷 검색 기록에서 북한식 어휘가 다수 확인된 점 등도 확인했다.

예를 들면 '포트'(port)를 '포부'라고 표현하거나 '동작'을 '기동'으로, '페이지'(page)를 '페지'로, 디스플레이 출력을 '현시'로 표현하는 식이다.

경찰 관계자는 "발송자가 불분명한 전자우편은 열람하지 않거나 첨부파일·링크를 클릭하지 않는 등 원칙적인 대응이 중요하다"며 "주기적으로 본인의 접속 이력을 확인하는 것이 도움이 된다"고 말했다.


◎공감언론 뉴시스 [email protected]