北韓 偵察總局 傘下 해킹組織 ‘김수키’(Kimsuky)가 國內外 서버 500餘 個를 經由하며 인터넷住所(IP住所)를 바꾼 뒤 內國人 1468名의 이메일 計定을 奪取했다고 21日 警察이 밝혔다. 警察에 따르면 김수키는 假想資産에 關心이 많은 一般人에게 接近해 假想資産 奪取를 試圖했지만 實際로 成功하진 못했다.
北韓 해킹組織 ‘김수키’의 해킹 攻擊 槪要. 警察廳 提供
● ‘Navor’, ‘daurn’ 等 피싱龍 假짜 사이트 만들어
警察廳 國家搜査本部는 이날 브리핑을 열고 “김수키의 活動 內容을 追跡해 搜査한 結果 攻擊 對象을 外交安保 分野 公務員과 專門家뿐만 아니라 一般人까지 擴大한 것으로 나타났다”며 이같이 밝혔다.
이番 搜査를 통해 確認된 이메일 計定 奪取 被害者는 모두 1468名으로 把握됐다. 이 中 外交安保, 國防, 統一 分野 分野의 前·現職 公務員 等 專門家는 57名이었다. 二重엔 前職 長官級 人士도 한 名 包含된 것으로 傳해졌다. 警察 關係者는 “김수키는 들이 가진 外交安保 情報를 노렸지만 住所錄 外에는 保安 資料에 接近하지는 못했다”고 傳했다.
警察에 따르면 김수키는 國內 서버 194臺를 包含해 43個國 서버 總 576臺를 IP住所를 바꿔서 詐稱 이메일을 보내는 手法을 썼다. 지난해 4~7月 ‘피싱龍 이메일’을 보내는 手法과 마찬가지로 政府機關, 言論社 記者, 硏究所 等을 詐稱한 이메일을 보냈다. 이때 김수키는 國民健康保險 案內文이나 質疑書 等 受信者가 關心을 가질만한 內容을 添附파일로 담아 보냈다. 이렇게 속은 被害者가 이메일에 添附된 파일을 閱覽하면 個人用 컴퓨터 內部의 情報를 流出할 수 있는 惡性 프로그램이 設置 및 實行되는 手法을 썼다. 警察 關係者는 “1468個의 이메일 計定에 不正 接續한 것으로 把握된다”고 밝혔다.
이메일에서 인터넷住所(URL)를 누르도록 誘導하는 手法도 썼다. 國內外 온라인 포털 사이트 네이버, 다음, 구글 等을 詐稱한 假짜 사이트를 만들어 接續하게 한 다음 計定情報를 奪取하는 方式이다. ‘Navor(네이버는 Naver)’, ‘daurn(다음은 daum)’ 等으로 언뜻보면 實際와 비슷한 住所를 使用했다. 警察 關係者는 “링크를 통해 接續하면 元來 포털 사이트와 똑같은 모습으로 만든 피싱 사이트로 連結되도록 해 區分하기 어렵게 했다”고 傳했다.
北韓 해킹組織 김수키가 포털 사이트 네이버를 詐稱해 만든 假짜 피싱 사이트 畵面 캡처. 警察廳 提供
● 警察 “一般人 假想資産 노렸지만 失敗”
會社員이나 自營業者 等 다양한 職群의 一般人 1411名도 被害를 입었다. 이는 지난해 外交安保 專門家 爲主로 해킹攻擊을 敢行했던 것과는 樣相이 달라진 것이다. 警察 關係者는 “特定 分野 從事者에 局限하지 않고 全方位的으로 攻擊을 擴散하고 있는 것으로 보인다”며 “特히 一般人의 境遇 假想資産을 노린 해킹으로 보인다”고 밝혔다.
警察은 지난해 김수키가 國內 中小企業에 랜섬웨어를 流布한 뒤 假想資産으로 金錢을 要求했고, 올해도 詐稱 이메일로 해킹 當한 被害者들의 假想資産 去來所 計定에 不正 接續해 假想資産 竊取를 試圖한 點 等으로 미뤄봤을때 김수키의 一般人 해킹 目標價 假想資産 奪取로 定해졌다고 보고 있다.
다만 김수키는 實際 假想資産을 獲得하는 데는 失敗한 것으로 把握됐다. 警察 關係者는 “김수키가 被害者 中 19名의 假想資産 去來所 計定을 奪取해 否定 接續에 成功했지만 結局 2段階 認證을 通過하지지 못하면서 最終的으로 假想資産 奪取에는 失敗한 것으로 判斷된다”고 말했다.
앞서 김수키는 지난해 4∼10月 國立外交員 關係者, 20代 大統領職引受委員會 出入記者 等을 詐稱하며 統一 外交 安保 國防 專門家 892名에게 惡性 프로그램이 숨겨진 이메일을 보냈었다. 當時 이메일을 받은 專門家 中 49名이 實際로 해킹 被害를 입었다. 김수키는 2014年 韓國水力原子力 原電 圖面 流出, 2015年 國家安保室 詐稱 메일 發送 等의 事件 背後로 指目되는 組織이다. 北韓 偵察總局은 對南 工作 業務를 總括하는 組織이다.
송유근 記者 big@donga.com
-
- 좋아요
- 0
個
-
- 슬퍼요
- 0
個
-
- 火나요
- 0
個
-
- 推薦해요
- 個
