지난해 말 ‘방첩사 작성한 계엄 문건 공개’라는 제목의 해킹용 전자우편(이메일)이 유포된 사건은 북한의 소행으로 확인됐다.

경찰청 국가수사본부는 지난해 11월부터 올해 1월까지 북한 해킹 조직이 개인정보 탈취를 목적으로 국내 1만7744명에게 사칭 이메일을 12만6266회 발송한 사실을 확인했다고 15일 밝혔다.

경찰에 따르면 유포된 이메일 종류는 30여가지로, 국군방첩사령부가 쓴 계엄 문건으로 위장한 것은 총 54명에게 전송됐다. 이 외에도 북한 신년사 분석이나 정세 전망 문서, 유명 가수의 콘서트 관람권, 세금 환급, 오늘의 운세, 건강정보 등 정보 제공 문서로 위장한 이메일이 확인됐다.

이메일은 포함된 링크를 누르면 포털 사이트 계정 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되도록 설계됐다. 발송자 이메일 주소는 공공기관을 연상케하거나 지인의 이메일과 유사한 형태였으며, 사칭 사이트 또한 유명 사이트 주소에 몇 글자 추가하거나 유사한 철자로 구성됐다.

경찰 조사 결과 기존 북한발 사이버공격 사건에서 사용된 서버가 이번에도 사용됐고, 범행 근원지의 IP주소가 중국 랴오닝성과 북한의 접경지역에 할당된 것으로 나타났다.

이메일 발송은 해외 업체를 통해 임대한 서버 15대에서 자체 제작한 발송용 프로그램을 통해 이루어졌다. 이 프로그램은 이메일이 발송되는 시점부터 수신자의 열람·피싱 사이트 접속·계정정보 획득 등의 여부를 포함한 통계자료를 한눈에 파악할 수 있는 기능도 포함하고 있다.

서버 기록에는 발송자들이 ‘포트’(port)를 ‘포구’ ‘페이지’를 ‘페지’ ‘동작’을 ‘기동’으로 쓰는 북한식 어휘를 사용한 흔적이 발견됐다.

이메일 수신자 중에는 국내 통일·안보·국방·외교 분야 정부기관 종사자, 연구자, 언론인 등이 포함됐다. 일부는 과거에도 북한의 사이버 공격을 받은 적이 있었다.

조사 결과를 토대로 경찰은 사이버 공격의 주체를 북한으로 지목했다. 다만 ‘라자루스’나 ‘김수키’ 등 기존 북한 해킹 조직의 소행으로 단정할 만한 근거는 찾지 못했다.

수신자 중 120명은 실제로 링크를 통해 피싱 사이트에 접속해 포털 사이트 계정정보, 전자우편, 연락처 등 정보를 탈취당했다. 경찰은 이들에게 피해 사실을 알리고 계정 보호 조처를 하도록 안내했다.

장세풍 기자 spjang@naeil.com