code:068h
device:
close_button
X
최상단배너

‘계엄 문건’ 사칭 이메일, 알고보니 北 소행…해킹 수법 고도화(종합)

구독
김형환 기자I 2025.04.15 13:09:20

해킹 메일 1.7만명 발송…120명 피해
게엄 문건부터 세금 환급 등 방식 다양
포구·페지 등 북한식 IT용어 다수 발견
수작업 발송에서 자동화로…수법 발전

[이데일리 김형환 기자] 12·3 비상계엄 사태 이후 ‘방첩사(국군방첩사령부) 작성한 계엄 문건 공개’라는 제목으로 다수에게 보내진 전자우편(이메일)이 북한 해킹조직의 소행으로 파악됐다. 북한 해킹조직은 이 외에도 콘서트 관람권 등 다양한 방식으로 해킹용 이메일을 보냈는데 기존 수작업으로 보내던 것과 달리 다수에게 한 번에 보낼 수 있는 자동화 방식까지 갖춘 것으로 확인됐다.

15일 서울 서대문구 국가수사본부에서 김영운 사이버테러수사대장이 방첩사 계엄 문건 사칭 전자우편이 북의 소행이라고 밝히고 있다. (사진=연합뉴스)
‘해킹 메일’ 1.7만명 발송…계엄 문건 등 방식 다양

경찰청 국가수사본부는 지난해 11월부터 지난 1월까지 1만 7744명에게 12만 6266회 발송된 사칭 전자우편이 개인정보 탈취 목적으로 한 북한 해킹조직의 범행으로 파악했다고 15일 밝혔다. 메일을 받은 1만 744명 중 7771명이 메일을 열람했고 피싱 사이트를 방문한 이들은 573명이다. 북한 조직에 아이디와 비밀번호 등 정보가 해킹된 이들은 120명이다.

해킹을 위해 보내진 전자우편 12만 6000여건 중 지난해 12월 11일 발송된 ‘방첩사 계엄 문건’도 54건 포함됐다. 당시 이메일에는 ‘A 국회의원이 지난 8일 국군방첩사령부가 지난달 작성한 계엄 문건을 공개한다’며 하나의 파일이 첨부됐는데, 해당 파일에는 해킹에 사용될 수 있는 악성프로그램이 포함됐다. 해당 메일을 받은 이들 중에는 통일·안보·국방·외교 분야 종사자가 포함된 것으로 확인됐다.

북한 해킹조직은 ‘방첩사 계엄 문건’ 같은 형식뿐만 아니라 다양한 시나라오로 이메일을 보냈다. 유명가수 콘서트 초대장, 세금 환급, 오늘의 운세, 건강정보 제공 등이 대표적이다. 이같이 위장한 이메일에는 모두 바로가기 링크가 포함돼 있었고 이를 누르면 로그인이 필요하다며 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되는 수법이었다. 경찰이 파악한 사칭 메일 시나리오만 30건이다.

경찰은 지난해 12월 12일 ‘방첩사 계엄문건’ 수사에 착수해 사칭 이메일의 원문을 확보해 발송 계정을 특정하고 접속기록을 추적했다. 이를 통해 발송에 이용된 국내 서버 15대를 확보해 발송 내용을 특정한 결과 북한 해킹조직의 소행으로 판단했다. 다만 기존에 알려졌던 김숙희, 라자루스 등 알려진 북한 해킹조직과의 연관성은 아직 발견하지 못했다.

기자 Pick

경찰은 △기존 북한발 사건에 파악된 서버를 재사용한 점 △범행 근원지 아이피 주소가 중국과 북한 접경지역인 랴오닝성에서 발견된 점 △서버와 검색기록 등에서 북한식 어휘가 다수 발견된 점 등을 근거로 북한 해킹조직의 소행임을 파악했다. 실제로 경찰은 서버에서 ‘포구(포트·port)’, ‘페지(페이지·page)’, ‘기동(동작)’ 등 북한식 IT 용어를 다수 발견했다고 설명했다.

지난해 12월 11일 ‘방첩사(국군방첩사령부) 작성한 계엄 문건 공개’라는 제목으로 다수에게 보내진 전자우편(이메일) 내용. (사진=경찰청 제공)
수작업 발송에서 자동 발송으로…수법 고도화

경찰은 북한 해킹조직의 수법이 점점 발전하고 있다고 분석했다. 과거 북한 해킹조직이 사칭 이메일을 통해 정보 탈취를 시도한 경우 대부분은 북한에 대한 관심이 많은 교수나 연구진 등을 상대로 수작업을 통해 만든 이메일을 발송하는 것이었다. 예컨대 북한학을 전공하는 교수에게 ‘북한 신년사 분석’ 등 북한과 관련한 내용을 보내 해킹 프로그램을 설치하도록 하거나 정보를 요구하는 식이었다. 그러나 최근 발견되는 사례는 북한과 전혀 관계없는 내용들로 구성된 사칭 메일을 자동화 프로그램을 통해 다수에게 발송하는 방식이다.

김영운 경찰청 사이버테러수사대장은 “기존에는 북한에 관심 있는 분들에게 북한과 관련한 내용을 보냈다면 이번에는 북한과 관련 없는 약 30종의 글을 대량으로 발송했다”며 “게다가 수작업으로 일일이 보내야 하는 것과 달리 (자동화 시스템은) 시간도 많이 들지 않고 비용도 크지 않다”이라고 설명했다. ‘가성비’가 좋은 해킹 수법이기 때문에 언제든 다시 벌어질 수 있다는 것이다.

경찰은 피해를 줄이기 위해 △정부 부처는 업무상 상용메일을 사용하지 않을 것 △발신자가 불분명하거나 의심스러운 첨부파일은 열람하지 말 것 △이메일 첨부파일은 암호를 걸어 송수신하고 암호를 유선교환할 것 △2단계 인증을 사용할 것 등을 권고했다.

경찰은 국내 서버를 임대한 업자 등에 대한 수사를 이어가 사건의 실체를 끝까지 파악하겠다고 밝혔다. 김 대장은 “국내 서버를 임대한 사람을 특정했고 해외업자로 파악됐다”며 “(수사에서) 남아 있는 부분은 해외업자를 통해 찾아야 한다. 쉽지 않겠지만 끝까지 추적할 예정”이라고 강조했다.

배너

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지

댓글