北 해커집단, 방첩사 등 사칭해 포털 이메일 12만건 무더기 발송

북한 해커집단이 ‘방첩사(국군방첩사령부) 작성 계엄 문건 공개’, ‘세금 환급’ 등의 사칭 메일을 12만건 이상 무더기로 뿌려 개인정보를 탈취한 사실이 경찰에 적발됐다. 국내 이용자가 많은 네이버, 다음 등의 메일 주소를 겨냥하는 등 일반 국민을 대상으로 범죄 범위를 넓혀나가고 있어 보안 조치가 필요하다는 지적이 나온다.

네이버·다음 등 주요 메일로 12만회 발송

15일 경찰청 국가수사본부에 따르면 북한 해커집단은 지난해 11월부터 올해 1월까지 사칭 전자우편(이메일)을 1만7744명에게 12만6266회 발송했다. 사칭 메일 수신자는 네이버, 다음, 구글 등 국내 이용자들이 많은 이메일 주소가 대부분을 차지했다. 포털을 제외한 기업 메일은 10건에 불과했다.

이들은 사칭 이메일에 링크를 달고 이 링크를 누르면 로그인이 필요하다고 해 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결하는 수법을 설계했다. 해당 피싱 사이트에서 아이디와 비밀번호를 적으면 해당 서버로 흘러 들어가게 되는 방식이다. 이메일 수신자 1만7744명 가운데 120명은 실제로 이 링크를 통해 피싱 사이트에 접속해 포털 사이트 계정, 연락처 등 개인정보를 탈취당했다. 국가 기밀 등 민감한 정보가 탈취당하거나 금전 피해로 이어지진 않은 것으로 파악됐다.

“포구·기동 등 북한 용어 사용해 덜미”

이번 해킹은 특정 집단을 노렸던 과거 수법과 달리 일반 국민을 대상으로 범죄 영역을 넓혔다는 특징이 있다. 과거 북한 해킹조직은 특정 집단을 노리는 수법을 써왔다. 북한 해킹조직 ‘라자루스’로 추정되는 집단은 지난 2021~2023년 국내 법원 전산망을 겨냥, 침투해 개인정보 등을 탈취했다. 콘서트 관람권 등 실제로 있을 법한 콘텐츠를 활용해 개인정보를 빼내는 북한의 공격을 확인한 것은 이번이 처음이다.

해커집단은 방첩사가 쓴 계엄 문건으로 위장해 총 54명에게 전달하는 등 30여 종류로 사칭 메일을 꾸며 전송한 것으로 나타났다. 북한 신년사 분석, 정세 전망 문서 등 기존 방식뿐만 아니라 유명 가수의 콘서트 초대권, 세금 환급 방법, 오늘의 운세, 건강정보 등 일반 국민이 관심 가질만한 내용으로 위장한 이메일이 대거 확인됐다.

해커 조직은 기존 북한발 사건에서 파악된 서버 15개를 재사용한 데다 인터넷 검색기록에서 북한식 어휘를 자주 써 북한 소행으로 결론 지어졌다. 이 조직은 ‘포트(Port)’를 ‘포구’로 쓴다거나 ‘페이지’를 ‘페지’, ‘동작’을 ‘기동’, ‘디스플레이’를 ‘현시’로 썼다. 경찰은 통일연구원에서 발간한 자료를 바탕으로 이 용어를 북한식 단어로 판단했다. 또 범행 근원지 IP 주소가 중국과 북한의 접경지역인 요녕성에 있다는 점 등도 북한 소행을 입증하는 단서로 작용했다.

해커집단이 점차 국민 대상으로 범죄 행위를 넓혀나가고 있어 개인정보를 보호하기 위한 보안 노력을 기울여야 할 전망이다. 경찰 관계자는 “발송자가 불분명한 이메일은 열람하지 않아야 하며 특히 첨부파일과 링크를 누르지 않는 게 매우 중요하다”며 “중요 정보를 입력하기 전 이 정보를 요구하는 이의 이메일·웹사이트 주소를 주의 깊게 살펴본다면 피해를 예방할 수 있다”고 전했다.

류병화 기자 hwahwa@hankyung.com