‘방첩사 계엄 문건’ 사칭 메일, 北 해킹조직 소행 추정

[아이티데일리] 지난해 12월 11일 발견된 국군방첩사령부(이하 방첩사) 계엄 문건 사칭 메일의 배후로 북한 해킹조직이 지목됐다.

경찰청 국가수사본부는 지난해 ‘방첩사 작성한 계엄 문건 공개’라는 제목으로 발송된 전자우편 사건을 수사한 결과, 북한의 소행으로 규명했다고 16일 발표했다.

경찰청은 범행에 쓰인 서버와 이메일 등 관련 자료를 분석하고 한국인터넷진흥원(KISA)과 협력하며 단서를 종합했다. 그 결과 기존 북한발 사건에서 파악된 서버를 재사용한 점, 사칭 이메일 수신자가 통일·안보·국방·외교 분야 종사자인 점을 파악했다. 또 범행 근원지 IP 주소는 중국과 북한의 접경지역에 할당돼 있었다.

특히 사칭 이메일을 조직적으로 발송하고자 임대한 서버에서 탈북자와 군 관련 정보를 수집하고 있던 사실이 발견됐다. 인터넷 검색기록에서도 북한식 어휘가 다수 확인됐다. 이러한 조사 결과를 토대로 경찰청은 이번 사칭 메일 사건을 북한의 소행으로 결론지었다.

경찰에 따르면, 북한 해킹조직은 해외 업체를 통해 서버 15대를 임대하고 이메일 발송용 프로그램을 자체 제작해 범죄를 도모했다. 이 프로그램은 이메일 발송 시점부터 수신자의 열람·피싱 사이트 접속·계정정보 획득 등의 여부를 포함한 통계자료를 한눈에 파악할 수 있는 기능을 갖췄다.

발송한 사칭 이메일 종류도 다양했다. 계엄 문건의 첨부 사례를 비롯해 북한 신년사 분석과 정세 전망으로 위장한 고전적인 방식과 더불어 유명 가수의 콘서트 관람권 초대장, 세금 환급, 오늘의 운세, 건강정보 등을 제공할 것처럼 위장하기도 했다.

이러한 사칭 이메일에는 바로가기(링크)가 포함됐으며 이를 누르면 로그인이 필요하다며 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결됐다.

사칭 이메일은 17,744명에게 30개 유형으로 총 126,266회 발송됐다. 전체 수신자 중 120명은 피싱 사이트에 접속 후 아이디, 비밀번호를 입력해 계정정보와 보관함에 저장된 이메일, 연락처 등을 탈취당했다.

발송에 쓰인 이메일 주소는 공공기관을 연상케 하거나 지인의 이메일 주소와 유사한 형태였다. 피싱 사이트 또한 유명 사이트 주소에 몇 글자를 더했거나 유사한 철자로 구성됐다.

경찰은 “사칭 이메일로 인한 피해를 막기 위해서는 발송자가 불분명한 이메일은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 중요하다”며 “이메일 아이디와 비밀번호가 노출되지 않도록 관리하며 주기적으로 본인의 접속 이력을 확인하면 피해를 예방하는 데 도움이 된다”고 밝혔다.