북한 정찰총국 산하 해킹조직 ‘김수키’가 국내 외교·안보 분야 전문가뿐 아니라 일반 시민으로까지 표적을 넓힌 것으로 드러났다. 이들은 일반인의 개인정보를 빼낸 뒤 가상자산을 노렸으나 실제로 성공하진 못한 것으로 전해졌다.
경찰청 국가수사본부(국수본)는 김수키의 활동 내역을 추적 수사한 결과 1468명의 이메일 계정이 탈취된 것을 확인했다고 21일 밝혔다. 이들 중 외교·통일·국방·안보 전문가는 57명이었고, 나머지는 회사원이나 자영업자 등 일반인으로 나타났다.
김수키 범행은 이미 여러 차례 확인됐다. 지난해에도 국내 안보 관련 핵심 기밀을 해킹하기 위해 피싱용 메일을 관련자에게 보내기도 했다. 국수본 관계자는 “1년 새 공격대상이 약 30배 늘었을 뿐 아니라 일반인으로까지 확대했다. 분야도 전방위적으로 확산했다”고 전했다.
북한이 일반인 계정을 해킹한 건 가상자산을 뺏기 위한 것으로 파악됐다. 이들은 추적을 피하고자 국내외 서버 576대(43개국, 국내 194대)를 경유하며 IP주소를 바꿔서 이메일을 보냈다. 해당 문서를 확인하는 버튼을 누르면 피싱 사이트 링크로 이어지는 식이다.
국민건강보험·국민연금공단·국세청 등을 사칭해 관심 가질 만한 내용을 담아 네이버 전자문서 형식으로 발송했다. 관련 내용 확인을 위해 아이디와 비밀번호로 로그인하는 순간 정보가 유출된다. 김수키는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속해 가상자산 절취를 시도했지만, 2단계 인증을 통과하지 못하면서 최종 실패했다. 다만 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 미만을 채굴한 사실이 확인됐다.
경찰은 김수키가 일반인을 대상으로 범행을 확대한 만큼 주의를 당부했다. 경찰 관계자는 “이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해 달라”고 말했다.
김용현 기자 face@kmib.co.kr