북한으로 추정되는 해커 조직이 27개 피싱사이트를 만들어 공무원, 기자, 북한 관련 연구원 등의 이메일을 해킹한 것으로 알려졌다.

대검찰청 사이버수사과는 이메일 계정 탈취 사건을 조사한 결과, 해커들이 지난 1월 12일부터 6월 16일까지 피싱사이트와 사칭 이메일을 이용해 북한 관련기관 종사자 이메일 계정 90개를 대상으로 탈취를 시도해 56개 계정의 패스워드가 유출된 사실을 확인했다고 1일 밝혔다.

검찰에 따르면, 해커들은 구글, 네이버, 다음, 마이크로소프트(MS), 정부부처, 방산업체, 대학 등을 사칭해 27개 피싱사이트를 개설했다. 그리고 사이트 보안담당자를 사칭해 ‘비밀번호가 유출되었으니 확인바란다’는 이메일을 외교부, 통일부, 국방부 등 공무원들과 출입기자, 북한 관련 연구소 교수, 연구원, 방산업체 임직원 등에게 전달했다.

([자료: 대검찰청])

해커들은 이메일 본문의 링크를 클릭하면 비밀번호 변경창이 뜨도록 해 비밀번호를 입력하도록 유도했고 실제로 일부 인사의 비밀번호가 유출됐다.

검찰은 국정원, 한국인터넷진흥원 등 유관기관과 협조해 해당 피싱사이트를 폐쇄하고, 피해 계정들에 대해 계정보호 등 조치를 취했다고 밝혔다.

검찰은 이번 사건이 북한의 소행으로 추정된다고 주장했다. 범행에 사용된 피싱사이트 개설 도메인 호스팅 업체, 보안 공지를 위장한 피싱 이메일의 내용, 피싱사이트 웹소스코드, 탈취 계정 저장파일 형식, 범행에 사용된 중국 선양 IP(175.167.x.x) 등이 과거 한수원 사건과 동일하다는 것이다. 2014년 12월부터 2015년 3월까지 한수원에서 도면 등이 유출되는 사고가 있었는데 정부합동수사단은 북한의 소행이라고 밝힌 바 있다.

한편, 지난달 28일 경찰청 사이버안전국과 정부합동조사팀은 최근 알려진 인터파크 1030만명 개인정보유출 사건이 북한의 소행으로 추정된다고 발표했다. 경찰은 공격 경유지 IP와 악성코드 등을 분석해 이같은 결과를 도출했다고 설명했다.

[테크M = 강진규 기자(viper@techm.kr)]