“방첩사 계엄문건 사칭 이메일은 北해커 소행”

경찰 “北 해킹조직, 개인정보 노려
첨부파일-링크 클릭하지 말아야”

북한 노동당 기관지 노동신문은 15일 김일성 주석 생일을 대대적으로 축하하는 분위기를 전하며 “수도의 거리마다에서 경축의 환희가 넘친다”라고 보도했다. (평양 노동신문=뉴스1)

북한 해킹조직이 12·3 비상계엄 사태 이후 ‘방첩사 작성 계엄문건 공개’라는 제목의 사칭 이메일을 보내 개인정보 탈취를 시도했던 것으로 드러났다.

15일 경찰청 국가수사본부는 북한 해킹조직이 지난해 11월부터 올 1월까지 개인정보를 빼돌릴 목적으로 국내 1만7744명에게 사칭 이메일 12만6266건을 발송했다고 밝혔다. 이들은 오늘의 운세, 신년사 분석, 정세 전망 문서, 유명 가수 콘서트 관람권 관련 정보를 알려주겠다는 내용의 사칭 이메일을 보냈다. 북한이 발송한 이메일의 종류는 30여 가지로, 이 중에는 국군방첩사령부가 만든 계엄문건을 공개하겠다는 이메일도 있었다.

수신자가 이메일에 적힌 링크를 누르면 북한 해킹조직이 만든 가짜 포털 사이트로 연결된다. 가짜 사이트를 기존에 자신이 사용하는 네이버, 구글 등 포털 사이트로 착각하고 아이디와 비밀번호를 입력하면, 해당 계정 정보가 북한에 넘어가는 구조다. 실제 이메일을 받은 이들 중 120명은 링크를 통해 피싱 사이트에 접속해 개인정보를 탈취당했다.

북한 해킹조직은 다량의 이메일을 전송하기 위해 국내 서버 15개를 빌린 것으로 조사됐다. 이들은 이메일 발송부터 수신자 열람, 피싱 사이트 접속, 개인정보 입력 여부 등을 파악할 수 있는 자동 프로그램도 범행에 사용했다. 이번 이메일 수신자 중에는 국내 통일, 안보, 국방, 외교 분야 정부기관 종사자, 연구자, 언론인 등이 포함됐다고 한다. 이들 중 일부는 과거에도 북한으로부터 해킹 공격을 받은 적이 있었다.

이상환 기자 payback@donga.com