북한 해킹조직이 '계엄문건' 등 사회적 관심이 큰 주제를 사칭해 피싱 메일을 무차별로 뿌린 사실이 경찰 수사로 드러났다. 피싱 메일이란 겉보기엔 정상적인 이메일처럼 보이지만 링크를 클릭하면 가짜 로그인 페이지로 연결돼 아이디나 비밀번호 같은 개인정보를 몰래 빼가는 수법이다. 이번 공격은 2024년 11월부터 2025년 1월까지 약 1만7000명에게 모두 12만6000통의 이메일을 보내는 방식으로 진행됐다.
경찰청 국가수사본부는 15일 오전 브리핑에서 이번 공격을 북한 해킹조직의 소행으로 판단하고 이유를 ▲기존 북한발 사건에서 파악된 서버 재사용 ▲범행 근원지 아이피(IP) 주소 ▲탈북자·군 관련 정보 수집 정황 ▲북한식 어휘 사용 ▲공격 구조 ▲타깃 대상의 일관성 등이라고 밝혔다.
◆'방첩사 계엄문건' 사칭한 피싱 메일, 54명에 발송
경찰은 지난해 12월 11일 '방첩사 작성한 "계엄문건" 공개'라는 제목으로 비상계엄 사태 관련 정보 공유를 위장한 악성 메일이 유포되고 있다는 언론 보도를 통해 사건을 인지했고 이튿날인 12월 12일 자체 수사에 착수했다.
이후 경찰은 해당 이메일이 해외 업체를 통해 임대한 서버 15대로부터 자체 제작된 이메일 발송용 프로그램을 통해 범행이 이뤄진 것을 발견했다. 또한 프로그램이 ▲이메일 발송 시점 ▲수신자의 열람 ▲피싱 사이트로 접속 ▲계정정보 획득 여부 등을 단계별로 확인하고 통계자료를 통해 이를 한눈에 파악할 수 있도록 한 점도 확인했다.
발송된 이메일은 계엄문건 사칭을 포함해 '오늘의 운세', '건강 정보', '세금 환급', '콘서트 예매권', '경제 기사', '책 소개' 등 30종 이상이었으며 이 중 계엄문건 사칭 메일은 54명에게 전성된 것으로 파악됐다.
이메일은 언론사, 포털, 인터넷 쇼핑몰, 정부 기관 등을 사칭하면서 실제 사이트 주소와 유사하게 조작된 피싱 사이트로 바로가기(링크)를 제공해 피해자들의 접근을 유도했다.
▲ 북한 해킹조직이 2024년 11월~2025년 1월 무차별 유포한 사칭 메일 통계. ⓒ경찰청 제공
◆7700명 열람, 120명 계정정보 유출 … 자동화 수법 도입
경찰은 이번 공격이 북한 해킹 조직의 자동화 역량이 현실화되고, 공격 전략이 무차별형으로 전환된 점에 주목했다. 해커는 메일 발송부터 수신·열람·링크 클릭·계정정보 입력까지 모든 과정을 자동으로 수집하고 통계화하는 시스템을 구축해, 수작업 중심이던 기존 북한 해킹 방식과는 뚜렷한 차이를 보였다.
경찰은 해당 기간 동안 총1만7744개의 계정에 12만6266건의 이메일이 발송됐고 이 가운데 7771건이 열람됐다고 밝혔다.
이어 열람자 가운데 573명은 피싱 사이트에 접속했고, 120명은 이메일 아이디와 비밀번호를 실제로 입력해 계정정보를 탈취당했다고 했다.
또한 '운세', '콘서트', '세금 환급' 등 대중적 콘텐츠를 사칭해 불특정 다수에게 메일을 살포하는 방식은, 북한이 기존의 정밀 타깃형에서 광역·저비용 공격으로 전략을 바꿨다는 분석으로 이어졌다.
경찰은 "자동화라고 이해하면 될 것"이라면서 "(해킹은) 특정 대상을 해킹하기 위해 찾고 검색하고 시도하는 등 오랫동안 하는 해킹도 있고, 사칭 메일의 경우는 쉬우면서 흔히 말해 가성비 방법으로 알려져 있다"고 했다. 이어 북한의 해킹에 대해 "초기에는 완전히 수작업이었지만 지금은 자동화가 많이 되었다는 말"이라고 덧붙였다.
공격에 사용된 서버는 해외 업체가 국내 업체에 단기 임대한 15대였으며 1~2만 원의 저비용으로 누구든지 운용이 가능했다고도 밝혔다.
▲ 북한발 사칭 전자우편 우편 개요도. ⓒ경찰청 제공
◆북한 어휘와 기존 도메인 재사용 … 북 연계성 뚜렷
경찰은 공격의 출처를 북한으로 지목한 근거로 여러 정황을 제시했다. 기존 북한발 사건에서 파악된 서버를 재사용했고, 프로그램의 주석이나 메모에 "페지(페이지)", "현시(표시)", "포구(PORT)", "기동(동작)" 등 북한식 IT 어휘가 발견됐다. 해당 표현들은 한국 업계에서는 사용되지 않으며, 통일연구원이 발간한 자료와 비교한 결과 일치하는 것으로 확인됐다.
범행의 근원지에 대해서는 중국 요녕성 등 중국과 북한의 인접 접경지 IP가 포함된 점도 지적됐다. 경찰은 서버의 재사용, 북한식 어휘, 공격 대상의 일관성, 접경지 IP, 자동화 프로그램 구조 등 5가지 요소를 종합해볼 때 북한의 조직적 소행으로 판단했다고 밝혔다.
또한 메일 수신자 중에는 통일·외교·안보 관련 인사들이 다수 포함돼 있었고, 과거 북한 해킹의 대상이었던 인물들도 반복적으로 공격받은 것으로 드러났다.
경찰은 이번 해킹을 통해 개인 자료가 탈취당한 사례가 있다면서도 "민감한 자료가 탈취된 것은 아니다"고 설명했다. 이어 해당 자료가 북한으로 넘어갔느냐는 질문에는 "통신 양으로만 봐서는 데이터가 넘어갔을 가능성도 있다"면서도 "반드시 넘어갔다고 보장할 수는 없다"고 했다.
▲ 경찰청 국가수사본부. ⓒ뉴데일리 DB
◆"2차 인증 필수, 의심 메일 열람 금지" … 피해 예방 강조
경찰은 공격 피해를 막기 위한 대응책으로 ▲발신자 확인 ▲URL 점검 ▲의심 메일 열람 금지 ▲2단계 인증 활성화 ▲접속 이력 점검 등을 권장했다. 특히 사칭 전자우편으로 인한 피해를 예방하기 위해서는 발송자가 불분명한 전자우편은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다고 강조했다.
경찰은 해킹의 1차 목적은 추가 범행으로 이어질 수 있도록 우선적으로 계정을 탈취하는 것이라고 설명했다. 계정의 탈취를 통해 개인의 사생활을 들여다보고, 업무 관련 내용이 있다면 추가 정보가 나가는 등 피해자를 장악하기 위한 시도라고 봤다.
경찰은 2단계 인증을 활성화할 경우 계정의 아이디와 비밀번호가 탈취됐다고 하더라도 공격자가 로그인에 실패해 추가 피해를 예방할 수 있게 될 것이라고도 당부했다.
경찰은 "아이디와 비밀번호 등 중요정보를 입력하기 전, 요구하는 자의 전자우편과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다"며 "이외에도 전자우편 아이디와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 본인의 접속 이력을 확인하는 것이 도움이 된다"고 설명했다.
김상진 기자 2025-04-15
**************************
北, 12.3 계엄 이후 '계엄문건' 사칭해 국내 여론 교란 확인
펜앤드마이크를 사칭한 악성 메일.(사진제공=과학기술정보방송통신부)
윤석열 대통령의 12.3 비상계엄 직후 이른바 '방첩사 계엄 문건 공개'라는 명칭으로 확산된 사칭성 전자우편의 정체가 알고보니 북한의 소행이었던 것으로 15일 확인됐다.
즉, 개인정보의 탈취를 목적으로 한 북한의 해킹에 의한 것이라는 게 경찰 등 수사당국의 조사 결과라는 것이다.
경찰청 국가수사본부 사이버테러대응과는 이날 서울 서대문구 청사에서 조사 결과 브리핑을 열고서 이같이 밝혔다.
경찰은 "지난해 12월11일 경에 발송된 전자우편 관련 사건을 수사한 결과 이는 북한의 소행이었음을 규명했다"라고 알렸다.
경찰 수사결과에 따르면, 북한의 해킹 관련 조직은 대한민국에서의 개인정보 탈취 목적을 위해 지난해 말경부터 올해 1월 시점까지 총 1만7천744명에게 도합 12만6천266회에 걸쳐 사칭성 전자우편을 발송했다.
심지어 여기에는 계엄 관련 문건을 사칭한 전자우편 외에 30여개의 유형의 전자우편 등이 활용됐다.
북한의 해킹 조직은 해당 사칭 우편에 유명가수의 콘서트 관련 초대장 혹은 세금 환급건 및 오늘의 운세, 건강 관련 정보 등으로 위장하여 발송했다.
이런사칭성 메일 중 계엄문건 등을 사칭한 전자우편의 경우 총 54명에게 발송된 것으로 확인됐다. 이들 중 개인정보가 탈취되는 등으로 이어진 사례는 아직 없는 것으로 확인됐다.
북한의 사칭 전자우편에서는 '바로가기'(인터넷링크주소)가 포함되어 있어 수신인이 해당 링크 버튼을 클릭하면 가짜 피싱, 해킹 사이트로 연결된다.
즉, 포털 사이트 등으로 위장한 해당 페이지에서 수신인이 로그인을 시도할 경우 그와 관련한 해당 정보들이 해킹 조직에 노출되어 공유되는 형태의 수법이다.
이때 발송에 사용된 해당 전자우편 주소는 공공기관 주소 및 수신인의 지인의 전자우편 주소 등과 유사한 형태로 나타났다. 사칭 사이트 주소 또한 유명 사이트 주소 명에서 몇 글자만시 수정되어 유사 철자로 구성됐다.
경찰은 "기존에는 특정한 수신자들에게 '북한의 신년사에 대한 정세 분석'이라는 내용 등으로 해킹을 시도하는 방식 위주"라면서 "그런데 이번에는 자동화된 대량발송 프로그램을 해킹 공격에 활용한 게 특징"이라고 분석했다.
해킹수사당국에 의하면 공연이나 건강 정보 등 실제 존재하는 관련 정보를 해킹을 통한 사칭 우편메일 발송공격에 사용한 건 이번이 처음이다.
북한의 사칭 전자우편 발송공격은 해외업체를 통하여 임대한 국내 서버(15대)에서 자체적으로 제작된 전자우편 발송용 프로그램을 이용하여 진행된 것으로 조사됐다.
해당 프로그램은 사칭성 전자우편 발송 시점부터 수신인의 메일 열람 및 피싱 사이트 접속에 이은 계정 정보 획득 여부 등에 이르기까지 통계자료를 모두 파악할 수 있는 기능까지 포함하고 있었던 것으로 나타났다.
경찰이 해당 서버(15개)를 압수하여 조사한 결과, 사칭 전자우편의 수신인 1만7천744명 가운데 120명은 실제 해킹용 피싱 사이트에 접속되어 본인의 아이디 및 비밀번호를 입력했다. 이어 계정 정보 등에 저장된 전자우편 주소와 연락처 정보들을 탈취당한 것으로 나타났다.
경찰은 기존의 북한식 사이버공격 관련 사건에서 파악된 서버가 이번 해킹 범행에 재사용되었다는 점, 사칭성 전자우편의 수신인에 외교나 통일·안보·국방 분야 관련 종사자들이 포함됐다는 점 등을 종합하여 북한의 소행인 것으로 결론을 내렸다.
이외에도 경찰은 범행지역의 아이피(IP) 주소가 중국 랴오닝성 등 북중 접경 변계지역에 할당되었다는 점, 전자우편 발송차 임대된 서버에서 탈북자 및 군 관련 정보들이 수집되고 있었다는 점 등도 확인했다.
한편, 경찰 소식통은 "발송인이 불분명한 그런 전자우편은 아예 열람하지 않거나 해당 메일의 첨부파일·링크주소를 클릭하지 않는 원칙적 대응이 중요하다"라며 "주기적으로 본인 접속 이력을 체크하는 게 도움이 된다"라고 전했다./
북한 해킹조직이 '계엄문건' 등 사회적 관심이 큰 주제를 사칭해 피싱 메일을 무차별로 뿌린 사실이 경찰 수사로 드러났다. 피싱 메일이란 겉보기엔 정상적인 이메일처럼 보이지만 링크를 클릭하면 가짜 로그인 페이지로 연결돼 아이디나 비밀번호 같은 개인정보를 몰래 빼가는 수법이다. 이번 공격은 2024년 11월부터 2025년 1월까지 약 1만7000명에게 모두 12만6000통의 이메일을 보내는 방식으로 진행됐다.경찰청 국가수사본부는 15일 오전 브리핑에서 이번 공격을 북한 해킹조직의 소행으로 판단하고 이유를 ▲기존 북한발 사건에서 파악된 서버 재사용 ▲범행 근원지 아이피(IP) 주소 ▲탈북자·군 관련 정보 수집 정황 ▲북한식 어휘 사용 ▲공격 구조 ▲타깃 대상의 일관성 등이라고 밝혔다.
◆7700명 열람, 120명 계정정보 유출 … 자동화 수법 도입경찰은 이번 공격이 북한 해킹 조직의 자동화 역량이 현실화되고, 공격 전략이 무차별형으로 전환된 점에 주목했다. 해커는 메일 발송부터 수신·열람·링크 클릭·계정정보 입력까지 모든 과정을 자동으로 수집하고 통계화하는 시스템을 구축해, 수작업 중심이던 기존 북한 해킹 방식과는 뚜렷한 차이를 보였다.경찰은 해당 기간 동안 총1만7744개의 계정에 12만6266건의 이메일이 발송됐고 이 가운데 7771건이 열람됐다고 밝혔다.이어 열람자 가운데 573명은 피싱 사이트에 접속했고, 120명은 이메일 아이디와 비밀번호를 실제로 입력해 계정정보를 탈취당했다고 했다.또한 '운세', '콘서트', '세금 환급' 등 대중적 콘텐츠를 사칭해 불특정 다수에게 메일을 살포하는 방식은, 북한이 기존의 정밀 타깃형에서 광역·저비용 공격으로 전략을 바꿨다는 분석으로 이어졌다.경찰은 "자동화라고 이해하면 될 것"이라면서 "(해킹은) 특정 대상을 해킹하기 위해 찾고 검색하고 시도하는 등 오랫동안 하는 해킹도 있고, 사칭 메일의 경우는 쉬우면서 흔히 말해 가성비 방법으로 알려져 있다"고 했다. 이어 북한의 해킹에 대해 "초기에는 완전히 수작업이었지만 지금은 자동화가 많이 되었다는 말"이라고 덧붙였다.공격에 사용된 서버는 해외 업체가 국내 업체에 단기 임대한 15대였으며 1~2만 원의 저비용으로 누구든지 운용이 가능했다고도 밝혔다.
◆북한 어휘와 기존 도메인 재사용 … 북 연계성 뚜렷경찰은 공격의 출처를 북한으로 지목한 근거로 여러 정황을 제시했다. 기존 북한발 사건에서 파악된 서버를 재사용했고, 프로그램의 주석이나 메모에 "페지(페이지)", "현시(표시)", "포구(PORT)", "기동(동작)" 등 북한식 IT 어휘가 발견됐다. 해당 표현들은 한국 업계에서는 사용되지 않으며, 통일연구원이 발간한 자료와 비교한 결과 일치하는 것으로 확인됐다.범행의 근원지에 대해서는 중국 요녕성 등 중국과 북한의 인접 접경지 IP가 포함된 점도 지적됐다. 경찰은 서버의 재사용, 북한식 어휘, 공격 대상의 일관성, 접경지 IP, 자동화 프로그램 구조 등 5가지 요소를 종합해볼 때 북한의 조직적 소행으로 판단했다고 밝혔다.또한 메일 수신자 중에는 통일·외교·안보 관련 인사들이 다수 포함돼 있었고, 과거 북한 해킹의 대상이었던 인물들도 반복적으로 공격받은 것으로 드러났다.경찰은 이번 해킹을 통해 개인 자료가 탈취당한 사례가 있다면서도 "민감한 자료가 탈취된 것은 아니다"고 설명했다. 이어 해당 자료가 북한으로 넘어갔느냐는 질문에는 "통신 양으로만 봐서는 데이터가 넘어갔을 가능성도 있다"면서도 "반드시 넘어갔다고 보장할 수는 없다"고 했다.
◆"2차 인증 필수, 의심 메일 열람 금지" … 피해 예방 강조경찰은 공격 피해를 막기 위한 대응책으로 ▲발신자 확인 ▲URL 점검 ▲의심 메일 열람 금지 ▲2단계 인증 활성화 ▲접속 이력 점검 등을 권장했다. 특히 사칭 전자우편으로 인한 피해를 예방하기 위해서는 발송자가 불분명한 전자우편은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다고 강조했다.경찰은 해킹의 1차 목적은 추가 범행으로 이어질 수 있도록 우선적으로 계정을 탈취하는 것이라고 설명했다. 계정의 탈취를 통해 개인의 사생활을 들여다보고, 업무 관련 내용이 있다면 추가 정보가 나가는 등 피해자를 장악하기 위한 시도라고 봤다.경찰은 2단계 인증을 활성화할 경우 계정의 아이디와 비밀번호가 탈취됐다고 하더라도 공격자가 로그인에 실패해 추가 피해를 예방할 수 있게 될 것이라고도 당부했다.경찰은 "아이디와 비밀번호 등 중요정보를 입력하기 전, 요구하는 자의 전자우편과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다"며 "이외에도 전자우편 아이디와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 본인의 접속 이력을 확인하는 것이 도움이 된다"고 설명했다.
