"태영호 의원실 피싱 메일"…북한發 사이버 범죄 단속은?[궁즉답]

외교·통일 전문가 892명에 기자·국회의원실 등 사칭
'백신' 북한 어휘 '왁찐' 확인…경찰 "北 해킹조직 소행"
'국내법' 처벌 가능해도…인터폴 공조로 검거가 '관건'
北 사이버 공격 우려 커져…"보안 강화 등 예방 중요"
  • 등록 2022-12-27 오후 3:18:13

    수정 2022-12-27 오후 3:18:54

이데일리는 독자들이 궁금해하는 정치·경제·사회·문화 등 여러 분야의 질문을 담당기자들이 상세하게 답변드리는 ‘궁금하세요? 즉시 답해 드립니다’(궁즉답) 코너를 연재합니다. <편집자 주>
(자료=이데일리DB)
Q. 태영호 국회의원실과 기자 등을 사칭한 ‘피싱 메일’이 북한 소행인 것으로 드러났습니다. 우리나라에서 북한 발(發) 사이버 범죄 단속은 어떻게 이뤄지고 있나요?

[이데일리 황병서 기자] 북한 해킹조직이 기자, 국회의원실, 공공기관을 사칭해 국내 외교·안보 분야 전문가 등 900여명에게 ‘피싱 메일’을 보낸 정황이 드러나 큰 충격을 주었습니다. 특히 북한 해킹조직은 악성 프로그램(랜셈웨어)을 유포, 감염시켜 국내 중소업체들에 금전을 탈취하기도 했습니다. 국민의 재산 피해가 발생했다는 점에서 앞으로 북한 사이버범죄 수사에 대한 관심이 집중됩니다.

북한발 사칭 이메일 유포사건 개요도.(자료=경찰청)
北 조직, 892명에 악성파일 첨부된 메일 무작위 살포…49명 피해

경찰청 국가수사본부 사이버수사국은 지난 25일 대통령직인수위원회 출입기자 사칭 이메일(4월28일), 태영호 국회의원 비서 사칭 이메일(5월7일), 국립외교원 사칭 이메일(10월26일) 모두 ‘김수키(kimsuky)’로 알려진 북한 정찰총국 산하 해킹조직이 발송한 것으로 보인다는 수사 결과를 발표했습니다.

경찰에 따르면 해킹조직은 26개국에 흩어진 서버 326대(국내 87대)를 경유하는 방식으로 IP 주소를 세탁한 뒤 국내 외교·통일·안보·국방 전문가 등 최소 892명에게 기자·국회의원실 등을 사칭한 이메일을 보냈습니다. 해당 이메일은 접속자 컴퓨터의 정보를 빼낼 수 있는 피싱 사이트로 유도하거나 악성 프로그램이 첨부된 형태였습니다. 네이버나 구글을 정교하게 본뜬 피싱 사이트에 속아 자신의 아이디와 비밀번호를 입력한 전문가는 현재까지 49명으로 잠정 집계됐습니다.

해킹조직은 이들의 송수신 이메일을 실시간 감시하며 첨부문서와 주소록 등을 훔쳐갔습니다. 또 랜섬웨어를 유포해 국내 업체 13곳의 서버 19대를 감염시키고, 이를 풀어주는 조건으로 금전을 요구한 사실도 확인됐습니다. 이 중 2개 업체가 총 255만원 상당의 비트코인을 해킹조직에 지급한 것으로 파악됐습니다.

경찰은 △2014년 한국수력원자력 해킹사건 △2016년 국가안보실 사칭 이메일 발송 사건의 수법과 비교해 이번 해킹 역시 ‘김수키’의 소행으로 판단했습니다. △공격 근원지 IP 주소 △해외 사이트 가입 정보 △경유지 침입·관리 수법 △악성 프로그램 특징 등이 같은 점을 근거로 들었습니다.

특히 △IP 경유지로 쓴 컴퓨터에서 ‘왁찐’(백신의 북한말) 같은 북한말을 사용한 인터넷 검색 흔적이 확인된 점 △범행 대상이 외교 전문가로 일관된 점도 ‘김수키’를 지목하는 근거로 꼽혔습니다. 김수키는 2021년 한국원자력 연구원과 2020년 제약사 해킹공격을 주도한 단체로도 지목됩니다.

태영호 국회의원실(왼쪽) 및 기자 사칭 이메일.(사진=경찰청)
北 사이버 공격 위협 크지만…해커 검거엔 한계

북한발 사이버 범죄를 단속하는 기관으로는 국가정보원, 국군방첩사령부 등이 있습니다. 경찰 내에선 경찰청 국가수사본부 산하 안보수사국과 사이버수사국이 담당합니다.

이번 북한발 사칭 메일 사건은 처음부터 북한의 소행이라 추정하고 수사를 진행한 것이 아니라고 합니다. 관련 제보가 들어오면서 사이버수사국이 수사하는 과정에서 북한 소행인 것으로 확인된 것입니다.

사이버수사국은 이번 사건과 관련해 국제형사사법 공조 등을 통해 수사를 계속 진행하고 있습니다. 특히 인터폴(국제형사경찰기구)의 공조가 필수적이라고 강조했습니다. 사이버범죄 특성상 추적을 회피하기 위해 일반적으로 여러 나라의 서버를 옮겨다니는 이른바 ‘IP 주소 세탁’을 하기 때문이죠.

북한의 사이버공격은 핵무기와 미사일 공격만큼 우리 일상을 위태롭게 할 수 있어 우려가 큽니다. 원론적으로는 우리나라 국민에게 손해를 끼친 범죄 행위를 한 북한 해킹조직을 국내법으로 처벌할 수 있지만, 이들을 법정에 세우는 것이 관건입니다.

북한 해커를 색출해 처벌할 수 있으면 좋겠지만, 현실적으로 이들을 검거하는 데 어려움이 큽니다. 전 세계적으로도 북한 해커가 처벌된 사례는 단 한 건도 없다고 합니다. 미국 법무부가 은행과 기업 등을 광범위하게 해킹해 약 13억달러(1조4300억원)의 가상화폐와 돈을 빼돌린 혐의를 받는 북한 정찰총국 소속 해커 박진혁, 전창혁, 김일 등 3명을 2021년 2월 기소했지만, 법정에 세우진 못한 상태입니다.

사이버 해킹 공격에 대응해 무엇보다 예방이 중요합니다. 경찰은 이번 공격 대상이 된 당사자와 기업에 피해 사실을 통보한 뒤 피해 PC 87대를 확인, 경유지로 사용하지 못하도록 조치했으며, 피해자 49명의 포털 메일을 변경하도록 했습니다. 또 악성 프로그램이 깔린 인터넷 도메인 주소를 확인, 한국인터넷진흥원 및 백신 업체와 협력해 피싱 사이트를 차단했습니다.

앞으로도 북한의 사이버 공격 시도는 지속할 것으로 전망됩니다. 경찰 관계자는 전산망 접근통제, 이메일 암호의 주기적 변경 및 2단계 인증 설정, 다른 국가로부터의 접속 차단 등 보안 설정을 강화하는 게 좋다고 조언했습니다.

이데일리 궁즉답에서는 독자 여러분들이 알고 싶어하는 모든 이슈에 기자들이 직접 답을 드립니다. 채택되신 분들에게는 모바일 상품권을 보내드립니다.
  • 이메일 : jebo@edaily.co.kr
  • 카카오톡 : @씀 news


이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 만화 찢고 나온 미모
  • MAMA에 뜬 여신들
  • 지드래곤 스카프 ‘파워’
  • K-마를린 먼로..금발 찰떡
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved