경찰청 "'방첩사 계엄 문건' 사칭 전자우편은 北 소행"

北 해킹조직, 2달간 사칭 전자우편 12만통 발송
수신자 1만7000여명…120명은 개인정보 유출

지난해 12·3 비상계엄 이후 국내 통일·안보·외교 분야 인사들을 겨냥해 '계엄 문건'을 사칭한 메일을 대량 발송한 주체가 북한으로 확인됐다. 북한은 계엄 문건을 비롯해 다양한 유형의 사칭 메일을 발송했는데 이로 인해 120명이 실제 계정정보를 입력해 개인정보를 탈취당한 것으로 조사됐다.

북한발 사칭 전자우편 사례. 경찰청 국가수사본부

15일 경찰청 국가수사본부는 지난해 12월 발생한 '방첩사(국군방첩사령부)가 작성한 계엄 문건 공개'라는 제목의 전자우편 사건이 북한 해킹조직의 소행으로 규명됐다고 밝혔다.

경찰은 이번 사건이 북한 해킹조직의 소행이라는 점을 입증할 수 있는 핵심 단서들을 다수 확보했다. 과거 북한 해킹 사건에서 사용됐던 서버가 이번 공격에서도 재사용됐다는 점, 주요 수신자가 국방 및 외교 관련 인사로 집중돼 있었다는 점, 공격에 사용된 IP(인터넷 프로토콜) 주소가 중국과 북한의 접경 지역인 요령성으로 확인된 점 등이다. 또 인터넷 검색 기록에서 포구(PORT), 기동(동작), 페지(Page) 등 북한식 어휘가 다수 확인되기도 했다.

북한발 사칭 전자우편 우편 개요도. 경찰청 국가수사본부

발송한 사칭 전자우편의 종류는 계엄 문건에만 그치지 않았다. 북한 해킹조직은 지난해 11월부터 올해 1월까지 개인정보 탈취 목적으로 계엄 문건·유명가수 콘서트 초대장·세금 환급 등 30가지 유형의 사칭 전자우편을 총 12만6266회 발송한 것으로 드러났다. 이 같은 전자우편 수신자 1만7744명 중 120명은 피싱 사이트 접속 후 자신의 아이디·비밀번호·휴대폰 번호 등을 입력해 개인정보 유출 피해를 입었다.

북한 해킹조직은 해외에서 임대한 15대의 서버를 통해 자체 제작한 프로그램으로 사칭 메일을 발송했다. 사칭 메일은 공공기관 또는 지인의 이메일처럼 꾸며졌으며, 사칭 사이트 역시 유명 포털과 유사한 주소를 사용해 수신자를 속였다. 링크를 클릭하면 포털 아이디와 비밀번호를 입력하라는 피싱 사이트로 연결되는 방식이다.

경찰청 관계자는 "발신자가 불분명한 전자우편은 열람하지 말고, 첨부파일과 링크를 클릭하지 않아야 한다"면서 "아이디와 비밀번호 입력 시에는 사이트 주소를 꼼꼼히 확인하고, 계정 정보 노출을 막기 위한 주기적인 점검도 필요하다"고 당부했다.

변선진 기자 sj@asiae.co.kr