'오늘의 운세', '콘서트 초대장', '세금 환급' 메일 주의

지난해 말부터 올해 초까지, 클릭만 해도 계정이 탈취되는 피싱 메일이 무려 12만 통 넘게 뿌려졌다. 문제는, 이 피싱 메일이 단순한 스팸이 아니라 북한 해킹조직의 소행이었다는 점이다.

지난 15일 경찰청 국가수사본부는 '방첩사 계엄문건 공개'라는 제목의 피싱 이메일을 포함해 총 12만6266건의 사칭 메일이 북한발 해킹 시도로 확인됐다고 발표했다. 메일 제목은 '오늘의 운세', '콘서트 초대장', '세금 환급' 등 수신자의 호기심을 자극하는 단어들로 꾸며졌다. 

기사와 관련 없는 자료 사진 / gettyimagesBank

실제로 지난해 11월부터 올해 1월까지 1만7744명에게 발송됐으며, 120명이 포털사이트 아이디와 비밀번호를 탈취당하는 피해를 입었다. 다행히 기밀자료나 금전 피해는 없는 것으로 확인됐다.

피싱 메일은 '세금 환급액 조회' 같은 제목으로 본문 하단에 '대상자 여부 확인하기' 버튼을 삽입했고, 이를 클릭하면 포털사이트를 모방한 가짜 로그인 페이지로 연결됐다. 수신자가 자신의 계정 정보를 입력하면 그대로 북한 해킹조직에 전송되는 방식이었다.

북한은 해외업체를 통해 임대한 국내 서버 15대를 이용했으며, 자체 제작한 이메일 발송 프로그램까지 활용했다. 이 프로그램은 메일 발송부터 열람 여부, 피싱 사이트 접속, 정보 입력 여부까지 실시간으로 추적 가능한 기능을 갖추고 있었다.

기사의 이해를 돕기 위한 자료 사진 / gettyimagesBank

북한의 해킹 방식 변화..."발신자가 불분명한 메일 클릭 금지"

경찰은 이번 사건이 북한 해킹조직의 짙은 흔적을 남긴 범행이었다고 판단했다. 서버 기록에는 '포구(포트)', '기동(동작)', '페지(페이지)' 등 북한식 표현이 발견됐고, 사용된 서버 일부는 과거 북한 사이버 공격에서도 활용된 것으로 드러났다. 발신 IP는 북한과 중국 접경 지역이었으며, 탈북자·군 관련 정보 수집 정황도 확인됐다.

이번 사건이 특히 주목되는 이유는 북한이 기존의 정밀 타깃 방식에서 벗어나 '가성비 해킹' 전략으로 방향을 튼 첫 사례라는 점이다. 

과거에는 '북한 신년사 정세 분석' 같은 맞춤형 콘텐츠를 수작업으로 제작해 외교·안보 전문가에게 보내는 방식이었지만, 이제는 자동화 프로그램을 통해 온라인에서 구한 콘텐츠로 불특정 다수를 대상으로 한 '대량 살포형 해킹'으로 전환한 것.

경찰 관계자는 "발신자가 불분명한 메일은 열지 말고, 링크와 첨부파일 클릭을 피하는 등 기본 원칙을 지켜야 피해를 막을 수 있다"며 "로그인을 요구하는 사이트 주소를 반드시 확인해야 한다"고 강조했다.