탈북자들의 직업, 경험 등 파악한 뒤 그에 맞춰 호기심 가질 만한 악성코드 파일 보내
  • ▲ 수사기관에서 해킹메일로 밝혀진 북한발 악성메일
    ▲ 수사기관에서 해킹메일로 밝혀진 북한발 악성메일
    탈북자들을 대상으로 한 북한의 해킹 공격이 갈수록 심해지고 있다. 북한의 해킹 목표는 탈북자 가운데서도 북한인권문제를 고발하는 등 대외적 활동을 많이 하는 사람들이다. 북한은 이들 탈북자에게 통일부 또는 현재 직업과 관련이 있는 정부 기관, 교육 기관을 사칭해 악성코드를 심은 메일을 보낸다. 이런 메일을 여는 순간 탈북자의 PC는 감염돼 ‘좀비PC’가 된다. 기자 또한 유사한 일을 겪은 적이 있다.

    교육 관련 부처를 출입하는 기자에게 지난 9월 27일 메일 한 통이 왔다. 보낸 사람은 ‘교양과’라고 돼 있었다. 한국 사람이라면 열어보지도 않았겠지만 기자는 혹시나 교육 부처에서 보낸 게 아닌가 싶어 메일을 열었다. 메일에는 ‘자녀분 녹음파일’이라는 제목의 M4A 파일이 첨부돼 있었다. 아무래도 올해 초에 받았던 해킹 메일과 비슷해 보였다. 당시 메일은 제목이 ‘통화녹음’이었고 “지난 번 말씀드린 통화자료 보내드립니다. 사실 여부 확인하시고 대응 함께 고민해 주셨으면 합니다”라고 적혀 있었다. 예의 녹음 파일도 있었다. 파일 이름은 ‘황우석 녹음(1)(김병준)’이었다.

    아무튼 기자는 ‘교양과’라는 사람에게 “발송자가 누구신지 신분을 밝혀 달라, 메일 발송한 이유는 뭔가”라고 문의하는 메일을 보냈다. 답장은 기대도 않았다. 그런데 답장이 왔다! 그런데 이번에는 보낸 사람이 ‘교양과’가 아니라 ‘수호천사’였다. 이후 사이버 수사기관에 문의한 결과 두 건 모두 북한이 보낸 해킹 메일로 밝혀졌다.

    거의 두세 달 마다 한 번씩 오는 북한의 해킹 메일이니 쉽게 당하지는 않는다. 하지만 기자도 깜빡 속은 적이 있다. 2017년 4월 초 교회와 대학교 등에서 북한 관련 강의를 했던 기자에게 ‘강의관련 자료(강사용)’이라는 제목의 메일이 도착했다. 보낸 사람은 ‘교육협력실’이었다. 어떤 대학교나 대형 교회에서 보낸 줄 알았다. 그리고 별 생각 없이 첨부파일을 열었다. 파일을 열자 내용이 깨져서 나왔다. PC에도 별다른 이상이 없었다. 그렇게 무심하게 넘어갔다.

    몇 달 뒤 사이버 수사기관에서 연락이 왔다. “귀하의 PC가 북한에게 해킹당해 ‘좀비PC’가 됐으며, 이메일과 각종 홈페이지 로그인 정보 등 그 속에 있던 모든 개인정보와 자료가 북한 쪽으로 유출됐다”는 이야기였다. 사이버 수사기관 관계자가 기자에게 이메일을 주고받은 사람의 이름 등을 대면서 피해 사실을 확인해 줄 때는 소름이 끼쳤다. 그 관계자는 “지난 몇 달 동안 북한 해커와 PC를 함께 쓴 셈”이라고 설명해줬다.

    탈북자 노린 북한의 해킹 공격, 목표 취향과 직업까지 고려

  • ▲ 북한에서 발송한 해킹메일
    ▲ 북한에서 발송한 해킹메일
    북한 해커는 2017년 6월에도 호기심을 자극하는 메일을 보내왔다. 이메일 제목은 ‘6월 北군수공업부 료해자료’였고, 거기에는 ‘8총국 방사포 성능분석’이라는 MS 워드 파일이 붙어 있었다. 이 또한 사이버 수사기관에 의해 북한에서 보낸 것임이 확인됐다. 북한 해커는 2017년 10월에도 이메일을 보내왔다. 기자가 대학 재학 중 대북전단 살포에 관여 했다는 사실을 아는 듯 첨부파일 제목을 ‘전단지 자료, 부품 구매처, 풍향정보’라고 달았다.

    대북전단 살포로 유명한 박상학 자유북한운동연합 대표 또한 이런 북한발 해킹 메일을 적지 않게 받았다. 박상학 대표는 “북한의 해킹 공격? 지난 5년 동안 기억나는 것만 서른 차례”라고 답했다. 박상학 대표는 이메일 뿐만 아니라 카카오톡이나 문자메시지로도 해킹 공격을 받았다고 밝혔다. 보낸 사람 또한 ‘통일부 북한인권과’ 또는 실제 통일부 공무원의 이름을 사칭했다고 한다.

    국내에서 가장 오래된 북한인권단체 ‘북한민주화위원회’도 마찬가지였다. 허광일 북한민주화위원회 위원장은 “2년 전에는 우리(북한민주화위원회) 홈페이지가 사이버 공격으로 먹통이 된 적도 있다”면서 “정부기관의 도움으로 겨우 복구했다”고 밝혔다. 허광일 위원장은 북한의 해킹 공격에 시달리다 못해 이제는 이메일 자체를 쓰지 않는다고 말했다.

    조선일보는 지난 4일자 보도를 통해 “탈북자들의 신상 탈취를 시도한 것으로 보이는 통일부에 대한 북한의 사이버 공격이 3년 사이 3배나 증가, 올해 8월까지 435건이 있었다”고 전했다. 북한이 탈북자들의 개인정보를 노리는 이유로는 이들에게 접근해 월북을 권유하거나 북한이 요구하는 일을 시키기 위한 것으로 보인다. 탈북자의 눈으로 보면 2012년 8월 북한의 협박을 받고 재입북한 박정숙 씨 사건, 2016년 5월 中北국경에서 북측에 억류된 고현철 씨 사건, 2017년 8월 재입북한 임지현(전혜성) 씨 사건과 북한의 통일부 해킹 공격이 오버랩 된다.

    기자가 북한의 해킹을 당했을 때 만났던 사이버 수사기관 관계자는 “조금이라도 이상한 메일이 오면 우선 메일 주소가 정상적인지 확인하고 즉각 관계 당국에 신고하라”고 당부했다. 북한은 해킹을 시도할 때 가짜 포털 사이트 또는 정부부처를 사칭하므로, 보낸 사람의 메일 주소를 확인하는 게 예방의 첫 단계라는 설명이었다.