연합뉴스윤석열 전 대통령의 12·3 비상계엄 전후 정국 혼란이 벌어졌을 당시 북한이 12만 회에 달하는 피싱 공격을 벌인 것으로 드러났다.
눈에 띄는 점은 북한이 과거와 달리 이번엔 유명 가수 공연 초대권, 병원 검진 안내문 등으로 위장한 피싱 이메일을 보내 개인정보를 탈취했다는 것이다. 북한은 '방첩사 계엄 문건'이라는 허위 이메일까지 보내 개인정보 탈취를 시도했다.
경찰청 국가수사본부는 15일
"북한 해킹조직이 개인정보 탈취 목적으로 지난해 11월부터 올해 1월까지 사칭 이메일을 발송했다"고 밝혔다.
북한이 총 1만 7744명에게 12만 6266회의 이메일을 발송한 것으로 조사됐다.경찰은 이번 피싱 범행에 사용된 서버 곳곳에서 북한의 흔적이 발견됐다고 밝혔다. 우선 과거 북한이 피싱 범행에 사용했던 서버가 이번에도 재사용됐고, 또 북한이 임대한 다른 서버에선 탈북자 관련 정보가 있었던 것으로 나타났다.
인터넷 검색기록 등에서도 북한식 어휘가 다수 확인됐다고 한다. 경찰 관계자는 "컴퓨터 통신에 사용되는 용어 중에 포트(Port)라고 있는데, 북한은 포구라고 사용한다"며 "동작도 기동이란 표현을 쓴다. 1페이지, 2페이지도 북한은 페지라고 하는데, 저희가 확보한 서버에서 그런 어휘를 확인했다"고 설명했다.
다만 경찰은 앞서 대법원 전산망을 해킹한 북한 정찰총국 산하 해커조직 라자루스나 김수키, 안다니엘 등의 범행인지는 확인하지 못했다고 밝혔다.이번 범행에서 눈에 띄는 점은 과거 북한이 '김정은 신년사 분석' 등의 내용으로 국방·안보 종사자, 공무원, 기자 등을 대상으로 범행을 벌였다면 이번엔 광고성 이메일로 불특정 다수에게 발송했다는 점이다. 경찰 관계자는 "기존에는 맞춤형이었는데, (이런 형태는) 처음이다"라고 설명했다.
북한은 국내 유명 가수의 공연 초대장, 세금 환급 사이트, 오늘의 운세, 건강 정보 등으로 위장한 피싱 이메일을 보낸 것은 물론 '방첩사 계엄 문건 공개'라는 제목의 이메일도 보냈다.
북한이 이메일 피싱 범행에 활용한 가짜 이메일 형태. 경찰청 제공해당 이메일에 첨부된 바로가기 링크를 누르면 로그인이 필요하다며 포털사이트 아이디와 비밀번호를 요구했다. 실제로 이메일을 받은 이들 중 120명은 아이디와 비밀번호를 입력했고, 그 결과 연락처 정보 등 개인정보를 탈취당한 것으로 나타났다.
경찰 관계자는 "북한의 1차 목표는 계정 탈취이며 그것을 통해서 추가 범행이 가능하다"며 "(공격 대상의) 사생활을 들여다보는 등 피해자를 장악한다"고 설명했다.
이어 "발송자가 불분명한 이메일은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다"며 "아이디와 비밀번호 등 중요정보를 입력하기 전 요구하는 자의 이메일과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다"고 조언했다.