[시민일보 = 이대우 기자] 내국인 1000여명의 이메일 계정이 북한 해킹조직 ‘김수키’(Kimsuky)에게 탈취됐다.

경찰청 국가수사본부는 김수키의 활동 내용을 추적·수사한 결과 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 21일 밝혔다.

2022년 해킹 당시 피해자가 49명이었고 외교·안보 분야 전문가만 해당했던 것과 비교하면 이번 공격은 대상이 약 30배로 늘고, 분야도 전방위적으로 확산한 양상을 보이고 있다.

김수키의 공격 대상에는 외교·안보 분야 공무원 등 전문가뿐 아니라 일반인까지 포함돼 있었다.

피해자에는 전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명이 포함됐으며, 또 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다.

경찰에 따르면 김수키는 이메일 내용과 아이디, 비밀번호 등 개인정보에 이어 가상자산 탈취까지 시도했으나, 여기에는 기밀자료는 포함되지 않은 것으로 나타났다.

김수키의 수법을 살펴보면, 국내외 서버 576대(43개국, 국내 194대)를 경유하며 IP주소를 바꾸며 정부기관·기자·연구소 등을 사칭해 안내문이나 질의서 등 수신자가 관심을 가질만한 내용으로 위장한 피싱 이메일을 발송했다.

이렇게 발송된 이메일에 첨부된 파일을 수신자가 클릭해 열람하면 PC 내부의 정보를 유출할 수 있는 악성 프로그램을 심고, 이디와 비밀번호를 가로채 피해자의 이메일 계정에 부정 접속해 내용을 들여다보고 주소록, 첨부파일 등의 자료를 빼냈다.

김수키는 피싱 이메일에 인터넷주소(URL)를 넣어 피해자가 신뢰할 수 있는 기관이나 포털 등을 모방한 가짜 홈페이지로 접속을 유도했으며, 사칭 이메일 수신자가 실제 소속된 기관의 누리집을 제작해 접속을 유도하는 등 더욱 교묘한 수법을 이용해 계정을 탈취했다.

경찰은 해킹 공격 대상이 확대되고 수법이 진화한 이유를 가상자산을 노린 것으로 파악하고 있다.

김수키는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속해 가상자산 절취를 시도했으나 엄격한 보안 절차 탓에 실제 빼돌리는 데는 성공하지 못했다.

또 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 미만을 채굴한 사실도 확인됐다.

경찰은 외교부 등 관계기관 및 미국 정부, 유엔 등과 북한 해킹조직으로 인한 피해를 막기 위해 정보를 공유하고 협력하고 있으며, 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등 관련 정보를 제공했다.

경찰 관계자는 “북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가적인 피해가 발생하지 않도록 인터넷 사용자의 주의가 필요하다”며 “이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해달라”고 당부했다. 

[ⓒ 시민일보. 무단전재-재배포 금지]