경찰청 국가수사본부는 지난해 12월 11일 ‘방첩사가 작성한 계엄 문건 공개’라는 제목의 사칭 전자우편 사건을 수사한 결과, 북한 해킹조직의 소행임을 밝혀냈다고 16일 발표했다.

수사 결과에 따르면 북한 해킹조직은 2024년 11월부터 2025년 1월까지 약 두 달간, 국내 통일·안보·국방·외교 분야 종사자 1만7744명을 대상으로 총 12만6266건의 사칭 전자우편을 발송한 것으로 확인됐다. 

 북한발 사칭 전자우편 사례/이미지=경찰청 제공

이 가운데 120명은 피싱 사이트에 접속해 아이디와 비밀번호를 입력했고, 이로 인해 계정정보와 저장된 전자우편, 연락처 등 개인정보가 유출됐다.

해킹조직은 해외에서 임대한 서버 15대를 활용해 자체 제작한 전자우편 발송 프로그램으로 공격을 감행했다. 해당 프로그램은 이메일 열람 여부, 피싱 사이트 접속, 계정정보 입력 등 모든 과정을 통계로 파악할 수 있는 기능을 갖추고 있었다.

사칭 전자우편은 단순히 ‘계엄 문건’만을 위장한 것이 아니었다. 북한 신년사 분석, 유명가수 콘서트 초대장, 세금 환급, 오늘의 운세, 건강정보 등 다양한 형태로 위장되었으며, 이메일 내 포함된 링크를 클릭하면 로그인 정보를 요구하는 피싱 사이트로 연결되는 방식이었다.

경찰은 범행에 사용된 서버와 이메일, 인터넷 검색기록 등을 정밀 분석한 결과 △북한발 해킹사건에서 확인된 서버 재사용 정황 △수신자 대부분이 주요 안보 분야 종사자였다는 점 △범행 IP가 북한-중국 접경지역에 할당된 점 △서버 내 탈북자 및 군 관련 정보 수집 기록 △북한식 어휘 다수 사용 등을 근거로 북한의 소행임을 확인했다고 밝혔다.

해커들은 공공기관 또는 지인을 연상케 하는 전자우편 주소와, 실제 유명 포털과 유사한 철자 및 주소로 구성된 피싱 사이트를 만들어 피해자의 경계심을 흩뜨려 트렸다.

경찰은 “발신자가 불분명하거나 의심스러운 메일의 경우 열람을 자제하고, 첨부파일이나 링크 클릭을 삼가야 한다”며, “아이디와 비밀번호 등 중요정보 입력 전에는 반드시 이메일 발신자와 웹사이트 주소를 주의 깊게 확인해야 한다”고 당부했다. 아울러 “접속 이력을 주기적으로 확인하고 비밀번호를 주기적으로 변경하는 습관이 피해 예방에 큰 도움이 된다”고 강조했다.

경찰청은 향후에도 국내외 유관기관과의 공조를 강화하고, 모든 유형의 사이버 공격에 대해 신속하고 엄정하게 대응할 방침이다.

[경제엔미디어=장민철 기자]