계엄문건·세금환급 위장 메일 12만건 발송
피싱 사이트 연결해 아이디·비밀번호 빼내
통일·외교 종사자 등 개인정보 탈취
피싱 사이트 연결해 아이디·비밀번호 빼내
통일·외교 종사자 등 개인정보 탈취
|
경찰청 국가수사본부는 지난해 11월부터 올해 1월까지 통일·외교·국방 분야 종사자를 포함해 국내 1만7744명을 대상으로 12만6266건의 사칭 전자우편이 발송됐다고 16일 밝혔다. 이 중 120명이 피싱 사이트에 접속해 계정정보와 이메일 보관함, 연락처 등이 유출된 것으로 확인됐다.
이번 공격은 북한 해킹조직이 과거 특정 인물을 겨냥해 맞춤형으로 이메일을 발송하던 방식에서 벗어나 불특정 다수를 대상으로 대량 자동화 발송 수법을 사용한 것으로 나타났다. 경찰은 북한 해킹조직이 자체 개발한 프로그램을 통해 사칭 이메일을 대량 발송하고, 수신자의 열람 여부와 피싱 사이트 접속, 계정정보 입력 여부 등을 관리해 온 것으로 보고 있다.
경찰은 사용된 서버와 이메일 발송 기록을 분석한 결과 △과거 북한발 사이버 공격에 사용된 도메인 재사용 △군·외교·통일 분야 종사자 대상 이메일 발송 △발신 IP가 중국·북한 접경 지역에 할당 △서버 내 탈북자 및 군 관련 정보 수집 △북한식 어휘 사용 등이 확인 돼 북한 해킹조직의 소행으로 판단했다.
이번 공격은 해외에서 임대한 서버 15대를 통해 이뤄졌다. 해킹조직은 자체 제작한 이메일 발송 프로그램을 이용해 사칭 이메일을 대량 발송했고, 발송 이후 수신자의 열람 여부·피싱 사이트 접속·계정정보 입력 여부 등을 실시간으로 파악할 수 있는 기능도 갖춘 것으로 드러났다.
사칭 이메일은 30여종으로 구성됐다. 계엄문건 첨부 이메일을 비롯해 북한 신년사 분석, 유명 가수 콘서트 초대권, 세금 환급, 운세, 건강정보 등 다양한 주제를 위장한 형태로 구성됐다. 대부분의 이메일에는 링크가 포함돼 있었고 이를 클릭 시 포털 로그인 화면을 가장한 피싱 사이트로 연결돼 수신자의 아이디와 비밀번호를 입력을 요구하는 방식이었다.
이메일 주소는 지인의 이메일 계정과 유사하게 조작하거나, 공공기관을 연상시키는 형식으로 만들어졌고, 피싱 사이트 주소는 실제 도메인과 유사한 철자를 사용한 것으로 확인됐다.
경찰은 해당 서버를 압수해 이메일 발송 기록과 계정 탈취 현황 등 자료를 확보했으며, 피해자들에게 개별 통지 후 보호 조치를 취했다. 추가적인 금전 피해는 아직까지 확인되지 않았다.
경찰 관계자는 "이번 범행은 북한 해킹조직이 수작업 방식에서 벗어나 대량 자동화 방식으로 공격 수법을 변화시킨 사례"라며 "계정정보 탈취를 통해 사생활 및 업무 관련 정보 유출 등 추가 피해로 이어질 수 있어 각별한 주의가 필요하다"고 당부했다.
이어 "출처가 불분명한 이메일은 열람을 자제하고, 링크 클릭이나 개인정보 입력 시 주소 확인 등 보안 수칙을 준수해달라"며 "2단계 인증 설정과 주기적인 비밀번호 변경, 접속 기록 확인 등도 피해 예방에 도움이 된다"고 강조했다.
|
