안보전문가 892명에 ‘악성 파일’
49명 실제 아이디·비밀번호 입력
태의원 “저도 첨엔 우리 메일인 줄”
中企에 ‘랜섬웨어’ 유포 첫 확인

“안녕하세요. 태영호 의원실 비서입니다.”

지난 5월 7일 국내 외교안보 전문가들에게 한 통의 메일이 도착했다. 태 의원실에서 주최한 세미나 ‘윤석열 시대 통일정책 제언’에서 발언한 취지를 A4 용지 1장 정도로 요약해 보내 달라는 부탁과 함께 ‘사례비 지급 의뢰서’가 첨부돼 있었다.

실제 태 의원실은 전날 서울 여의도 국회의원회관에서 해당 주제로 토론회를 열었다. 행사에 참석한 전문가가 메일을 받았다면 ‘피싱 메일’이라고 의심하기는 쉽지 않았을 것으로 보인다.

하지만 이 첨부파일은 PC 정보를 외부로 빼낼 수 있는 악성 프로그램이었다. 태 의원은 25일 기자회견을 열고 “북한 피싱 메일을 읽어 보면서 그 정교함에 놀랐다”며 “저도 처음에는 저의 의원실에서 보낸 메일인 줄 알고 보좌진에게 확인까지 했었다”고 말했다.

현역 의원을 사칭해 해킹을 시도한 북한 해킹조직이 경찰 수사로 발각됐다. 2013년부터 파악된 북한의 특정 해킹 조직으로 지난 10월에는 국립외교원을 사칭했고, 4월에도 제20대 대통령직인수위원회 출입기자라고 둘러댄 뒤 메일에 뉴스 링크라며 피싱 사이트 주소를 연결해 놨다.

경찰청 국가수사본부는 최근 기자, 국회의원실, 국가기관을 사칭해 외교안보 분야 전문가들에게 피싱 메일을 대량 유포한 일당을 추적한 결과 2014년 ‘한국수력원자력 해킹 사건’, 2016년 ‘국가안보실 사칭 이메일 발송 사건’ 등의 범행 주체로 지목된 북한 해킹 조직과 같은 조직이라고 결론 냈다.

경찰에 따르면 메일을 받은 외교·통일·안보·국방 분야 전문가는 최소 892명이나 됐다. 메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 파일이 첨부돼 있었다. 이 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 49명으로 잠정 집계됐다.

해킹 조직은 이들의 송수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 수사기관의 추적을 피하기 위해 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대(국내 87대)의 경유지 서버를 동원했다.

이 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ‘랜섬웨어’를 살포해 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 처음이다.