북한 해킹조직 ‘김수키'(Kimsuky)가 올해에도 정부기관·언론사 등을 사칭한 이메일을 보내 개인정보와 가상자산 탈취를 시도했다. 가상자산 탈취를 목적으로 해킹 범위를 넓히고 있는 양상이다.
경찰청 국가수사본부는 김수키의 활동 내용을 추적·수사한 결과 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 21일 밝혔다.
김수키는 국내외 서버 576대(43개국, 국내 194대)를 경유하며 IP주소를 바꾼 뒤 정부기관·기자·연구소 등을 사칭해 사용자가 관심을 가질 만한 내용으로 피싱 이메일을 발송했다.
일례로 경찰청 사이버안전국을 사칭해 마치 사용자가 불법 스팸 메일을 발송해 법적 책임을 물을 수 있다는 내용과 함께 ‘정보통신망이용촉진 및 정보보호.zip’ 이라는 악성 프로그램 파일을 첨부해 클릭 및 다운로드를 유도했다.
수신자가 이메일에 첨부된 파일을 열람하면 PC 내부의 정보를 유출할 수 있는 악성 프로그램이 설치됐다.
이런 방식으로 김수키는 아이디와 비밀번호를 가로채 피해자의 이메일 계정에 접속해 내용을 들여다보고 주소록, 첨부파일 등의 자료를 빼낸 것으로 파악됐다. 다만 탈취된 정보 중에 기밀자료는 없었다.
특히 김수키는 사칭 이메일 수신자가 실제 소속된 기관의 누리집을 제작해 접속을 유도하는 등 더욱 교모한 수법을 사용한 것으로 나타났다.
해킹 피해자로는 전문가 57명과 일반인 1411명이 있었다. 전문가 가운데는 전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등이 포함됐다.
이처럼 김수키가 교모한 방법을 사용해 해킹 대상을 확대한 것은 암호화폐를 노리고 있기 때문으로 추정된다.
실제로 해킹을 통해 탈취한 피해자 정보를 바탕으로 암호화폐거래소 계정에 부정 접속해 절취를 시도한 사실이 확인됐다.
해킹으로 장악한 경유 서버 147대에는 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실도 드러났다.
경찰청은 전자우편 및 가상자산 거래소 계정의 비밀번호를 주기적으로 변경하고, 추가적인 보안 설정 단계를 거쳐 안전한 가상자산 관리를 당부했다.
경찰 관계자는 “북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가적인 피해가 발생하지 않도록 인터넷 사용자의 주의가 필요하다”며 “이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 보안 설정을 강화해달라”고 전했다.