북한 해킹 조직인 ‘킴수키(Kimsuky)’가 국내 1468명의 이메일 계정을 해킹한 것으로 21일 파악됐다. 피해자 중엔 전직 장관을 비롯해 외교·안보 분야 전·현직 공무원 26명이 포함됐다.
경찰청 국가수사본부는 작년 12월 ‘국민의힘 태영호 의원실 사칭 메일 사건’ 이후 추가 수사를 진행한 결과, 킴수키가 사칭 메일을 지속적으로 발송하고 있다고 밝혔다. 북한 대남(對南) 공작 총사령부인 정찰총국 산하의 킴수키는 주로 국가 기반시설이나 정부기관, 탈북자, 정치인 등을 대상으로 사회적 혼란이나 정보 수집을 위한 사이버 공작을 벌이는 것으로 분석된다. 킴수키는 지난 2014년 한국수력원자력 직원에게 피싱 메일을 발송하는 수법으로 한수원 자료를 탈취하기도 했다.
경찰에 따르면 킴수키는 사칭 메일을 보내면서 43국에 있는 576대의 서버 컴퓨터를 거치는 등 자신의 접속 위치를 숨겼다. 이들이 사용한 서버 컴퓨터 역시 킴수키 해커들이 해킹으로 확보한 것들이었다. 킴수키는 정부기관·언론사·연구소로 위장해 안내문, 질의서 등을 이메일로 보냈다. 지난 3월 7일엔 KBS 기자를 사칭했다. 이메일엔 “북한의 급증하는 미사일 위협과 관련해 전문가 분들에 한하여 인터뷰 요청을 드리고자 한다”며 “선생님의 회신을 항상 기다리고 있겠습니다”라고 적었다. 수신자가 이 이메일에 첨부된 파일을 열람하면 개인용 컴퓨터 내부 정보를 유출할 수 있는 악성 프로그램이 자동으로 설치·실행됐다. 다만 탈취된 정보 중에 기밀 자료는 없는 것으로 확인됐다고 한다.
이번 해킹으로 회사원·자영업자·무직자 등 일반인 1411명도 피해를 입었다. 킴수키는 작년 국민의힘 태영호 의원실 등을 사칭해 메일을 보내는 방식으로 국내 외교안보·통일·국방 전문가 892명에게 접근해 49명의 정보를 탈취한 바 있다.
북한의 해킹 공격 대상이 확대된 이유는 가상자산 때문이라고 경찰은 분석했다. 경찰 조사에 따르면 킴수키는 피해자 중 19명의 가상자산 거래소 계정에 몰래 접속해 가상자산 절취를 시도했다. 실제 빼돌리는 데는 성공하지 못했다고 한다. 경찰 관계자는 “북한의 해킹 수법이 갈수록 교묘해지는 만큼, 이메일과 가상자산 거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해야 한다”고 밝혔다.