경찰 "'방첩사 계엄문건' 낚시 메일, 北 해킹이었다"

북한 해킹조직이 '계엄문건' 등 사회적 관심이 큰 주제를 사칭해 피싱 메일을 무차별로 뿌린 사실이 경찰 수사로 드러났다. 피싱 메일이란 겉보기엔 정상적인 이메일처럼 보이지만 링크를 클릭하면 가짜 로그인 페이지로 연결돼 아이디나 비밀번호 같은 개인정보를 몰래 빼가는 수법이다. 이번 공격은 2024년 11월부터 2025년 1월까지 약 1만7000명에게 모두 12만6000통의 이메일을 보내는 방식으로 진행됐다.

경찰청 국가수사본부는 15일 오전 브리핑에서 이번 공격을 북한 해킹조직의 소행으로 판단하고 이유를 ▲기존 북한발 사건에서 파악된 서버 재사용 ▲범행 근원지 아이피(IP) 주소 ▲탈북자·군 관련 정보 수집 정황 ▲북한식 어휘 사용 ▲공격 구조 ▲타깃 대상의 일관성 등이라고 밝혔다.

경찰은 지난해 12월 11일 '방첩사 작성한 "계엄문건" 공개'라는 제목으로 비상계엄 사태 관련 정보 공유를 위장한 악성 메일이 유포되고 있다는 언론 보도를 통해 사건을 인지했고 이튿날인 12월 12일 자체 수사에 착수했다.

이후 경찰은 해당 이메일이 해외 업체를 통해 임대한 서버 15대로부터 자체 제작된 이메일 발송용 프로그램을 통해 범행이 이뤄진 것을 발견했다. 또한 프로그램이 ▲이메일 발송 시점 ▲수신자의 열람 ▲피싱 사이트로 접속 ▲계정정보 획득 여부 등을 단계별로 확인하고 통계자료를 통해 이를 한눈에 파악할 수 있도록 한 점도 확인했다.

발송된 이메일은 계엄문건 사칭을 포함해 '오늘의 운세', '건강 정보', '세금 환급', '콘서트 예매권', '경제 기사', '책 소개' 등 30종 이상이었으며 이 중 계엄문건 사칭 메일은 54명에게 전성된 것으로 파악됐다.

이메일은 언론사, 포털, 인터넷 쇼핑몰, 정부 기관 등을 사칭하면서 실제 사이트 주소와 유사하게 조작된 피싱 사이트로 바로가기(링크)를 제공해 피해자들의 접근을 유도했다.

경찰은 이번 공격이 북한 해킹 조직의 자동화 역량이 현실화되고, 공격 전략이 무차별형으로 전환된 점에 주목했다. 해커는 메일 발송부터 수신·열람·링크 클릭·계정정보 입력까지 모든 과정을 자동으로 수집하고 통계화하는 시스템을 구축해, 수작업 중심이던 기존 북한 해킹 방식과는 뚜렷한 차이를 보였다. 

경찰은 해당 기간 동안 총1만7744개의 계정에 12만6266건의 이메일이 발송됐고 이 가운데 7771건이 열람됐다고 밝혔다.

이어 열람자 가운데 573명은 피싱 사이트에 접속했고, 120명은 이메일 아이디와 비밀번호를 실제로 입력해 계정정보를 탈취당했다고 했다.

또한 '운세', '콘서트', '세금 환급' 등 대중적 콘텐츠를 사칭해 불특정 다수에게 메일을 살포하는 방식은, 북한이 기존의 정밀 타깃형에서 광역·저비용 공격으로 전략을 바꿨다는 분석으로 이어졌다.

경찰은 "자동화라고 이해하면 될 것"이라면서 "(해킹은) 특정 대상을 해킹하기 위해 찾고 검색하고 시도하는 등 오랫동안 하는 해킹도 있고, 사칭 메일의 경우는 쉬우면서 흔히 말해 가성비 방법으로 알려져 있다"고 했다. 이어 북한의 해킹에 대해 "초기에는 완전히 수작업이었지만 지금은 자동화가 많이 되었다는 말"이라고 덧붙였다.

공격에 사용된 서버는 해외 업체가 국내 업체에 단기 임대한 15대였으며 1~2만 원의 저비용으로 누구든지 운용이 가능했다고도 밝혔다.

경찰은 공격의 출처를 북한으로 지목한 근거로 여러 정황을 제시했다. 기존 북한발 사건에서 파악된 서버를 재사용했고, 프로그램의 주석이나 메모에 "페지(페이지)", "현시(표시)", "포구(PORT)", "기동(동작)" 등 북한식 IT 어휘가 발견됐다. 해당 표현들은 한국 업계에서는 사용되지 않으며, 통일연구원이 발간한 자료와 비교한 결과 일치하는 것으로 확인됐다.

범행의 근원지에 대해서는 중국 요녕성 등 중국과 북한의 인접 접경지 IP가 포함된 점도 지적됐다. 경찰은 서버의 재사용, 북한식 어휘, 공격 대상의 일관성, 접경지 IP, 자동화 프로그램 구조 등 5가지 요소를 종합해볼 때 북한의 조직적 소행으로 판단했다고 밝혔다.

또한 메일 수신자 중에는 통일·외교·안보 관련 인사들이 다수 포함돼 있었고, 과거 북한 해킹의 대상이었던 인물들도 반복적으로 공격받은 것으로 드러났다.

경찰은 이번 해킹을 통해 개인 자료가 탈취당한 사례가 있다면서도 "민감한 자료가 탈취된 것은 아니다"고 설명했다. 이어 해당 자료가 북한으로 넘어갔느냐는 질문에는 "통신 양으로만 봐서는 데이터가 넘어갔을 가능성도 있다"면서도 "반드시 넘어갔다고 보장할 수는 없다"고 했다.

경찰은 공격 피해를 막기 위한 대응책으로 ▲발신자 확인 ▲URL 점검 ▲의심 메일 열람 금지 ▲2단계 인증 활성화 ▲접속 이력 점검 등을 권장했다. 특히 사칭 전자우편으로 인한 피해를 예방하기 위해서는 발송자가 불분명한 전자우편은 열람하지 않거나 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 매우 중요하다고 강조했다.

경찰은 해킹의 1차 목적은 추가 범행으로 이어질 수 있도록 우선적으로 계정을 탈취하는 것이라고 설명했다. 계정의 탈취를 통해 개인의 사생활을 들여다보고, 업무 관련 내용이 있다면 추가 정보가 나가는 등 피해자를 장악하기 위한 시도라고 봤다.

경찰은 2단계 인증을 활성화할 경우 계정의 아이디와 비밀번호가 탈취됐다고 하더라도 공격자가 로그인에 실패해 추가 피해를 예방할 수 있게 될 것이라고도 당부했다.

경찰은 "아이디와 비밀번호 등 중요정보를 입력하기 전, 요구하는 자의 전자우편과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다"며 "이외에도 전자우편 아이디와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 본인의 접속 이력을 확인하는 것이 도움이 된다"고 설명했다.