[서울=뉴스핌] 박우진 기자 = 정부기관이나 언론사를 사칭한 전자우편(이메일)을 이용해 개인정보를 빼내거나 가상자산 탈취를 시도한 북한 해킹조직의 범죄로 인한 피해자가 지난해보다 30배 가량 늘어난 것으로 확인됐다. 경찰은 이러한 수법의 범죄가 기승을 부리는 만큼 각별한 주의를 당부했다.

경찰청 국가수사본부 수사국은 21일 북한 해킹조직의 정부기관·언론기관 사칭 전자우편과 관련한 브리핑에서 이같이 밝혔다.

경찰은 지난해 북한 해킹조직의 소행으로 밝혀진 '국회의원실·기자 등 사칭 전자우편 발송사건'을 추가로 추적·수사한 결과 올해도 이들은 공격대상을 확대해 사칭 전자우편을 지속적으로 발송하고 있으며 특히 다양한 방법으로 가상자산을 탈취하고 있는 사실도 확인했다.

추가 수사 결과 확인된 이메일 계정 탈취 피해자는 1468명이다. 이는 지난해(49명)보다 약 30배 가량 늘어난 수치다.

이들 중 회사원·자영업자·무직자 등 다양한 직군의 일반인은 1411명이 대부분을 차지했다. 구체적으로는 자영업자·무직자 등 기타 직군이 824명으로 가장 많았고, 회사원이 587명이었다.

외교·통일·국방·안보 분야 전·현직 공무원 등 전문가도 57명 포함돼 있다. 통일 분야 전문가가 16명으로 가장 많았고, ▲외교 분야 15명 ▲국방 분야 14명 ▲안보 분야 12명으로 뒤를 이었다. 

확인된 피해자 중에는 현직 장차관급 인사는 없었으나 전직 장관급 인사가 포함된 것으로 알려졌다. 공격 대상이 특정 분야 종사자 뿐 아니라 전방위적으로 확산된 것으로 보인다.

북한발 악성이메일 유포 사건 개요도 [자료=경찰청]

이들은 정부기관, 기자, 연구소 등을 사칭해 안내문이나 질의서 등 수신자가 관심을 가질만한 내용으로 위장한 이메일에 첨부파일을 포함해 발송한다. 수신자가 파일을 열람하면 컴퓨터 내부 정보를 유출할 수 있는 악성 프로그램이 설치되고 실행되는 수법을 이용했다.

또 이메일에 포함된 인터넷주소(URL)을 클릭을 유도하는 방법도 쓰였다. 피해자가 신뢰할 수 있는 기관이나 포털사이트를 모방한 가짜 사이트로 접속을 유도하는 피싱 수법을 이용해 계정정보를 탈취하는 것으로 확인됐다.

이를 위해 해킹조직은 전자우편 수신자의 소속기관 사이트를 교묘하게 제작해 접속을 유도하고 피해자별로 특화된 공격을 전개하기도 했다.

경찰은 해킹조직이 가상자산을 노리면서 공격대상이 확산되는 것으로 보고 있다. 지난해에는 랜섬웨어를 이용한 가상자산 갈취한 사실이 처음 확인된데 이어 올해는 사칭 이메일 피해자들의 가상자산 거래소 계쩡에 부정 접속해 절취를 시도한 사실이 확인됐다.

해킹으로 장악한 경유 서버 147대에서 '가상자산 채굴 프로그램'을 관리자 몰래 실행하기도 했다. 19명의 가상자산 관련 계정을 이용해 부정접속에 성공했으나 자산 탈취에는 이르지 못한 것으로 확인됐다.

경찰은 피해 예방과 저지를 위해 외교부, 한국인터넷진흥원(KISA) 등 관계기관과 미국 정부, 국제연합(UN) 등과 정보를 공유하고 협력 대응하고 있다.

또 피해자들에게 전자우편에 대한 보안 조치를 권고하고 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고 있다. 국가사이버위기관리단 등 관계기관에는 북한 해킹조직의 경유 서버 목록 등 관련 정보를 제공해 정보보호 정책 수립에 활용하고 있다.

정부는 업무와 관련해 상용메일을 쓰지 않는 점을 유의해야 하며 사칭메일 피해를 방지하기 위해서는 발신자가 불분명한 첨부파일이나 링크는 열람하지 말 것을 당부했다. 또 해외 로그인을 차단하거나 휴대전화, OTP 등으로 2단계 인증을 사용하고 백신과 방화벽 설정 등으로 수시로 점검이 필요하다고 밝혔다.

경찰 관계자는 "정부부처는 업무 목적으로 국민들께 연락드릴 때는 상용메일 사용하지 않는다. 발신자가 의심스러울 때는 첨부파일이나 링크를 클릭하지 말고 발송기관에 직접 전화해 메일 발송됐는지 확인해야 한다"며 "전자우편과 가상자산 거래소 계정 비밀번호는 주기적으로 변경하고 필요시에는 해외 로그인 접속을 차단하고 휴대전화 등으로 2단계 인증을 추가하면 좋다"고 말했다. 

krawjp@newspim.com