“숨은 환급금 27만원 찾아가세요”…클릭하면 북한에 개인정보 다 털린다

“숨은 환급금 27만원 찾아가세요”…클릭하면 북한에 개인정보 다 털린다

최초입력 2025.04.15 12:00:00
북한발 피싱메일 12만통 달해

북한발 피싱메일 12만통 달해

북한발 피싱 이메일 사례. [국가수사본부]

지난해 12월 ‘방첩사 계엄문건 공개’라는 제목으로 발송된 피싱 이메일은 북한 해킹조직의 소행으로 조사됐다. 이를 포함해 북한은 ‘오늘의 운세’ ‘콘서트 초대장’ ‘세금 환급’ 등 수신자로 하여금 클릭을 유도하는 제목의 이메일을 지난해 말과 올해 초에 12만통 이상 뿌렸다. 이 같은 방식으로 북한이 불특정 다수에게 피싱 메일을 살포한 사례는 이번이 처음이다.
15일 경찰청 국가수사본부는 북한발 사칭 이메일 사건에 대한 수사 결과를 이같이 발표했다.
경찰에 따르면 북한 해킹조직은 지난해 11월부터 올해 1월까지 30개 유형의 피싱 메일을 1만7744명에게 총 12만6266회 발송했다.
120명은 포털 사이트에서 사용하는 자신의 아이디와 비밀번호 등 계정 정보를 탈취당하는 피해를 입었다. 다만 탈취된 정보 중 기밀자료는 없는 것으로 확인됐다. 금전적 피해 사례도 발생하지 않았다.
문제의 이메일에는 피싱 사이트로 연결되는 버튼이 포함됐다.‘세금 환급액 조회‘라는 제목의 피싱 메일의 경우, 본문 하단에 ’대상자 여부 확인하기‘ 버튼이 노출됐다. 이를 누르면 로그인이 필요하다면서 포털 사이트를 본뜬 피싱 사이트로 수신자를 안내한다. 메일 수신자가 직접 자신의 아이디와 비밀번호를 입력하면, 이는 해킹조직에게 넘어갔다.
피싱 메일은 북한이 해외 업체를 통해 임대한 국내 서버 15대에서 발송된 것으로 조사됐다. 여기에는 북한 해킹조직이 자체 제작한 이메일 발송용 프로그램이 활용됐다. 이 프로그램은 이메일이 발송되는 시점부터 수신자의 열람 여부, 피싱 사이트 접속 여부, 계정정보 획득 여부 등 통계자료를 한눈에 파악할 수 있는 기능도 갖추고 있었다.
경찰 조사 결과, 서버 기록에는 이번 사건이 북한 해킹조직의 소행이라는 사실을 암시하는 흔적이 다수 발견됐다. 인터넷 검색 기록에는 포구(포트), 기동(동작), 페지(페이지) 등 북한식 어휘가 포함됐다. 이번 사건에 이용된 서버는 기존 북한발 사건에서 사용된 서버와 일부 동일했다. 범행 근원지 IP(인터넷주소)는 중국·북한 접경 지역이었다. 해당 서버에선 탈북자와 군 관련 정보를 수집한 기록도 남아 있었다. 이번 피싱 메일 수신자 명단에는 북한 해킹조직의 표적인 통일·안보·국방·외교 분야 종사자도 포함됐다.
이번 피싱 메일 사건은 북한의 해킹 시도가 ‘가성비(가격 대비 성능)’를 추구하는 방식으로 변화하고 있다는 점을 보여준다.
과거 북한 해킹조직은 북한 정세에 관심이 많은 외교·안보 분야 전문가들을 겨냥해 피싱 메일을 살포하는 경향을 보였다. 메일 제목에 ‘북한 신년사에 대한 정세 분석’이라고 적고, 이와 관련된 내용으로 본문을 구성하는 등 피싱 메일을 보내기 위한 수작업이 필요했다.
반면, 이번 사건은 온라인에서 쉽게 구할 수 있는 자료를 바탕으로 북한 해킹조직이 자체 제작한 프로그램을 활용해 보다 많은 수신자에게 대량으로 피싱 메일을 발송했다는 점에서 과거와 다르다.
사칭 이메일로 인한 피해를 예방하기 위해서는 발송자가 불분명한 이메일은 열람하지 않고, 첨부파일과 링크를 클릭하지 않는 등 원칙적인 대응이 중요하다. 경찰 관계자는 “아이디와 비밀번호 등 중요 정보를 입력하기 전, 이를 요구하는 자의 이메일과 웹사이트 주소를 주의 깊게 살펴본다면 사전에 피해를 예방할 수 있다”고 당부했다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]

매일경제

“숨은 환급금 27만원 찾아가세요”…클릭하면 북한에 개인정보 다 털린다

많이 본 뉴스