앵커: 한국 경찰청 사이버범죄수사과 수사관을 사칭한 전자우편으로 탈북민 해킹 시도가 있었다는 사실이 뒤늦게 알려졌습니다. 북한의 소행으로 추정됩니다. 서울에서 목용재 기자가 보도합니다.
탈북민 백요셉 씨는 지난 2월말 발신자명이 ‘A66-2494’인 사람으로부터 전자우편을 수신했습니다.
발신자는 자신을 경찰청 사이버범죄수사과 소속의 박모 수사관으로 소개하면서 백 씨의 전자우편 계정 정보가 침해당한 사실을 알리고자 전자우편을 보냈다고 밝혔습니다.
이어 이 발신자는 네이버나 카카오, 다음 등 한국의 검색 서비스를 사칭해 계정 입력이나 비밀번호 변경을 요구하는 전자우편을 수신한 경험이 있다면 피해를 입은 것이라고 강조하며 수사 협조를 위한 차원에서 회신을 요청했습니다.
백 씨는 해당 전자우편에 놀라 어떻게 협조를 해야 하는지 회신하자 이 발신자는 “이번 사건은 경찰청에서 매우 중요하게 임하는 사건인 만큼 적극 협조해 달라”며 경찰청 해킹 진단툴로 접속하는 인터넷 주소를 첨부해 답장을 보냈습니다.
백요셉 씨는 10일 자유아시아방송에 “몇차례 전자우편을 주고 받았는데, 발신자 전자우편 주소가 이상하다는 것을 알았다”고 말했습니다. 백 씨가 수신한 해당 전자우편 발신자의 주소는 ‘pol112m@police.co.ke’였습니다.
[백요셉 씨] (해킹 공격을) 몇 번 당한 적이 있거든요. 하도 당하다 보니까 그들이 하는 수법이 대충 보입니다. 그 (전자우편) 주소 있잖아요. 그게 뭔가 다르거든요. 정상적인 주소가 아니었어요. 메일 주소가.
이번에 포착된 해킹 시도는 처음에 공격 대상에게 정상적인 전자우편을 보내고 상대가 회신한 경우 본격적으로 해킹을 시도한다는 특징이 있습니다.
자유아시아방송은 10일 한국 경찰청 사이버범죄수사과에 박모 수사관이 실제 해당 전자우편을 발신했는지에 대한 확인을 요청했고 이에 경찰청은 사이버범죄수사과에 박모 수사관은 없다는 입장을 밝혔습니다.
또한 한국 수사당국 한 관계자는 자유아시아방송에 경찰을 사칭한 해킹 공격이 최근 진행된 것으로 파악하고 있다고 말했습니다.
한국 수사당국의 안보·사이버 담당자들의 경우 해킹 사건을 수사하는 도중 메일 계정 정보가 침해 됐을 가능성이 있는 대상에게 보안 조치 및 안내 차원에서 전자우편을 보내고 있습니다.
공격자가 이 같은 전자우편 유형을 모방해 탈북민을 대상으로 공격을 시도한 것으로 추정됩니다.
북, 해외 서버 활용해 해킹 시도
해당 전자우편을 분석한 익명의 보안전문가는 자유아시아방송에 북한 해커의 소행인 것으로 분석했다고 밝혔습니다.
이 전문가에 따르면 박모 수사관을 사칭한 발신자가 보낸 인터넷 주소를 클릭하면 악성파일이 내려받아지고, 해당 파일을 실행하면 네덜란드와 원격으로 접속돼 정보가 유출됩니다. 또한 수신자 PC를 감염시켜 공격자는 실시간으로 해당 PC를 감시할 수 있게 됩니다.
이 전문가는 자유아시아방송에 “북한이 해외 서버를 해킹해 활용하고 있는 것으로 추정하고 있다”며 “특히 최근 경찰을 사칭한 해킹 전자우편이 탈북민들을 대상으로 많이 뿌려졌다”고 말했습니다.
관련기사
이런 가운데 한국 내 사이버 보안 기업, 지니언스는 지난 5일 한국 비상계엄 직후 ‘국군방첩사령부 계엄 문건’으로 위장해 유포된 문서형 악성코드에서 북한과의 연결성 일부를 파악했다고 밝혔습니다.
지니언스는 보고서를 통해 해당 악성코드가 북한 해커의 수법과 유사하다고 분석하면서도 아직 북한의 소행으로 단정지을 수는 없다고 강조했습니다.
앞서 한국의 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 12월 12일 비상계엄 사태와 관련된 정보를 사칭한 해킹 전자우편이 대량으로 유포되고 있다며 개인과 기업의 주의를 당부한 바 있습니다.
서울에서 RFA 자유아시아방송 목용재입니다.
에디터 양성원