[보안뉴스 한세희 기자] 작년 말 방첩사 계엄 문건 등을 제목에 내세운 피싱 메일 공격의 배후는 북한인 것으로 드러났다.

경찰청 국가수사본부는 2024년 12월 11일 ‘방첩사 작성한 계엄 문건 공개’라는 제목으로 이메일이 대량 발송된 사건을 수사한 결과, 북한 소행으로 규명했다고 15일 밝혔다.

이 메일엔 ‘방첩 사령관 명으로 작성한 문건’, ‘국회의 계엄 해제 요구를 대통령이 거부할 수 있는지 검토’ 등의 자극적 내용이 포함돼 있었으며, 첨부 파일을 다운로드하면 악성 프로그램이 설치됐다.

또 경찰청은 북한 해킹 조직이 2024년 11월부터 2025년 1월까지 1만7744명에게 12만6266회의 피싱 메일을 보낸 사실을 확인했다.


▲북한발 사칭 이메일 공격 개요도 [자료: 경찰청]

범행에 쓰인 서버와 이메일 등 관련 자료를 분석한 결과, △기존 북한발 사건에서 파악된 서버를 재사용 한 점 △사칭 이메일 수신자가 통일·안보·국방·외교 분야 종사자인 점 △범행 근원지 IP 주소가 중국과 북한 접경 지역에 할당된 점 등을 근거로 북한 소행으로 결론 냈다. 또 사칭 이메일을 조직적으로 발송하기 위해 임대한 서버에 탈북자와 군 관련 정보를 수집하고 있었고, 인터넷 검색 기록에서 북한식 어휘도 다수 확인됐다.

사칭 이메일은 해외 업체를 통해 임대한 서버 15대에서 자체 제작한 발송 프로그램으로 전송됐다. 이 프로그램은 메일 발송 시점부터 수신자의 열람, 피싱 사이트 접속, 계정정보 획득 여부 등 통계자료를 한눈에 보는 기능을 가졌다.


북한발 사칭 이메일 사례 [자료: 경찰청]

북한은 계엄 문건을 비롯해, 북한 신년사 분석과 정세 전망, 유명 가수 콘서트 초대장, 세금 환급, 오늘의 운세, 건강정보 등 다양한 내용으로 위장했다. 발송에 쓰인 이메일 주소는 공공기관을 연상케 하는 형태였다. 사칭 사이트 역시 유명 사이트 주소를 비슷하게 흉내냈다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>