경찰청 사이버안전국은 지난 7월 5일부터 약 한달간 국내 비트코인 거래소 4곳 관계자 25명에게 이메일을 통해 악성코드를 유포한 사건을 수사한 결과 북한 해커의 소행으로 판단된다고 27일 밝혔다.
경찰은 그 근거로 한국수력원자력 해킹이나 청와대 사칭 메일 발송 사건 등 과거 북한 소행으로 확인된 사건의 인터넷 프로토콜(IP) 주소와 이번 악성메일의 발신지가 동일한 점을 들었다.
경찰에 따르면 해당 메일에는 악성코드가 첨부돼 첨부 파일을 열면 악성코드에 감염되도록 한 것으로 드러났다.
북한 해커들은 메일에 수사 협조요청 공문과 함께 실존 인물인 수사관 신분증 사본까지 첨부하는 등 경찰, 검찰, 금융보안원 등을 사칭까지 한 것으로 조사됐다.
이들은 비트코인 거래소 직원의 PC를 감염시켜 내부망을 해킹해 비트코인을 탈취하려 한 것으로 추정된다고 경찰은 밝혔다.
하지만 실제로 악성코드에 감염된 PC는 확인되지 않았고 비트코인이 탈취당한 사례도 없는 것으로 파악됐다.
경찰은 실제 협조공문 양식 등이 범행에 쓰인 점을 들어 수사기관 협조 업무를 담당하는 직원 메일이 사전에 해킹된 것으로 보고 있다.
악성 메일을 발송하는 데 사용된 계정은 총 9개로 국내와 해외 포털사이트에서 생성된 것으로 조사됐다. 이중 4개는 도용된 계정이고 5개는 직접 생성한 것으로 파악됐다.
북한이 직접 생성한 계정 5개 중 2개는 한국인 휴대전화에 악성 어플리케이션을 감염시켜 인증번호를 탈취한 것이라고 경찰은 밝혔다.
경찰 관계자는 "이번 수사에서 스마트폰을 감염시켜 범행에 사용한 것이 확인된 만큼 모르는 사람에게서 수신한 링크를 클릭하거나 출처를 알 수 없는 애플리케이션은 설치하지 말아야 한다"고 당부했다.