북 해킹조직 ‘사칭 이메일’…올해만 ‘계정 탈취’ 1,468건

북한 해킹조직이 정부 기관이나 기자 등을 사칭해 전자우편 계정을 탈취하는 사례가 올해 1,468건 새로 확인된 것으로 나타났습니다.

경찰청 국가수사본부는 지난해 북한 해킹조직 '김수키'가 신분을 사칭한 전자우편을 통해 국내 전문가들의 계정을 탈취한 사건을 추적한 결과 이 같은 추가 피해를 확인했다고 오늘(21일) 밝혔습니다.

계정 탈취 피해자를 분야별로 보면, 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가는 57명, 나머지는 회사원이나 자영업자 등 일반인이 1,411명이었습니다.

북 해킹조직은 정부 기관이나 연구소 등을 사칭해 '안내문'이나 '질의서'로 위장한 전자우편을 보낸 뒤, 수신자가 첨부 파일을 열면 계정 정보 탈취를 위한 악성 프로그램 등이 설치되도록 하는 수법을 사용했습니다.

또, 전자우편에 국내 유명 포털 사이트로 위장한 홈페이지 링크를 첨부해 이메일 아이디와 비밀번호를 입력하도록 유도했습니다.

해킹조직은 이메일을 통해 언론사 기자를 사칭하며 "전문가들에게 인터뷰 요청을 드린다"고 하거나, 연구소 연구원이라며 "문서에 오류가 있어 최종본을 다시 보낸다"며 수신자를 속였습니다.

경찰은 북 해킹조직이 가상자산 탈취를 위해 사칭 전자우편을 통해 해킹을 계속하고 있다고 분석했습니다.

지난해 북한 해킹조직이 '금품 요구 악성 프로그램(랜섬웨어)'을 유포해 가상자산을 갈취한 데 이어, 올해에는 사칭 전자우편 수신자들의 가상자산거래소 계정에 접속해 절취를 시도했기 때문입니다.

경찰은 또 이들이 해킹으로 장악한 경유 서버 147대에서 '가상자산 채굴 프로그램'을 관리자 몰래 실행한 흔적도 발견됐습니다.

경찰은 북한 해킹조직의 공격이 전방위적으로 확대되고 있다고 보고, 추가 피해가 발생하지 않도록 전자우편과 가상자산거래소 계정의 비밀번호를 주기적으로 변경할 것을 당부했습니다.

또 2단계 인증과 일회용 패스워드(OTP) 설정, 해외 인터넷주소(IP) 접속 차단 등 보안 설정을 강화하도록 권고했습니다.