연합뉴스지난해 전 통일외교 분야 장관 포함 국내 외교·안보 전문가들에게 대량으로 유포된 '피싱 메일'은 북한 해킹조직 '김수키'의 소행인 것으로 드러났다.
7일 경찰청 국가수사본부에 따르면, 김수키 일당은 지난해 4월부터 8월까지 남한 외교·안보 전문가 150명에게 피싱 사이트 접속을 유도하는 악성 이메일을 보냈다.
피싱 사이트에 접속해 이메일 계정 정보를 뺏긴 피해자는 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등 모두 9명으로 조사됐다.
김수키는 전 외교통일 분야 장관 등 고위 공직자의 메일 송·수신 내역을 2~4개월 동안 모니터링하며 첨부 문서와 주소록 등을 빼냈다.
다만, 탈취된 정보 중에 기밀자료는 없다고 경찰은 밝혔다.
연합뉴스김수키는 우리나라 내 36개, 국외 102개 등 모두 138개 서버를 해킹으로 장악하고, 인터넷 프로토콜(IP) 주소를 세탁해 피싱 메일을 발송했다.
해킹한 서버를 악성 이메일 발송, 피싱 사이트 구축, 탈취정보 전송 등 서로 다른 용도로 사용해 추적을 피하는 치밀함도 보였다고 경찰은 전했다.
김수키는 2014년 한국수력원자력 해킹 사건을 계기로 우리나라에서 유명해진 북한 해킹조직이다. 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일도 이들의 소행인 것으로 확인된 바 있다.
연합뉴스국수본이 지난해 피싱 메일 사건의 배후로 지목한 이유는 공격 근원지 IP 주소와 경유지 구축 방식 등을 확인하는 과정에서 '봉사기'(서버), '적중한'(적합한) 등 북한식 어휘나 문구가 발견됐기 때문이다.
경찰은 또 김수키가 사용한 서버에서 가상자산 지갑 주소 2개가 발견돼, 금전 탈취 시도도 있었던 것으로 보고 수사를 확대하고 있다.
발견된 지갑에서 200만 원 상당의 거래가 이뤄진 것으로 알려졌다.
국수본 관계자는 "안보 분야 관계자들을 대상으로 한 북한의 해킹 시도가 계속될 것으로 전망된다"면서 각별한 보안 조치를 당부했다.