류정민차장
사진=아시아경제 DB
피해 대상자에게 사이트 보안담당자를 사칭해 '피싱(phishing)' 메일을 보낸 것으로 나타났다. "비밀번호가 유출되었으니 확인바란다"는 이메일을 전송하고 이메일 본문의 링크를 클릭하면 비밀번호 변경창이 뜨도록 해 비밀번호를 입력하도록 유도한 것으로 조사됐다. 이런 식으로 이메일 탈취를 시도해 90개의 이메일 계정 중 56개는 실제로 패스워드가 유출된 것으로 나타났다. 이번 사건에 사용된 피싱 사이트 개설 도메인 호스팅 업체, 보안 공지를 위장한 피싱 이메일의 내용, 피싱 사이트 웹 소스코드, 탈취 계정 저장 파일 형식, 범행에 사용된 중국 선양 IP(175.167.x.x) 등은 과거 한수원 사건과 동일한 것으로 조사됐다. 검찰은 이러한 내용을 토대로 북한 해킹 조직에 의한 소행으로 추정하고 있다.검찰은 "피접속자 계정정보를 '접속 IP 파일명' 파일형태('192.168.150.133_result.txt')로 피싱 서버에 저장 후, 사후에 FTP로 접속해 수집해 가는 패턴 또한 동일하다"면서 "한수원 사건 당시 'Kimsuky' 계열 악성코드에 사용되었던 선양 IP 175.167.***.*** 대역이 본건 피싱 서버에 FTP 접속해 탈취된 계정 정보에도 사용됐다"고 설명했다. 검찰은 국가정보원, 한국인터넷진흥원(KISA) 등 유관기관과 연계해 해당 피싱 사이트를 폐쇄했다. 또 피해자 계정에 대한 비밀번호 변경 등 계정 보호조치를 실시했다. 검찰은 ▲외부 인터넷 사용을 가능하면 자제(업무상 필요한 경우만 허용) ▲주요업무 수행시 컴퓨터 초기화 ▲바이러스 정밀검색 ▲망분리 또는 인터넷 차단 등 보안조치 강구를 당부했다. 검찰 관계자는 "인터넷상 검색과 다운로드 과정에서 각종 악성코드 유포·공격이 빈번하게 이뤄져 백신 프로그램만으로 예방하기에는 역부족이다"라며 "탈취계정에 의한 추가 해킹·자료유출 방지를 위한 예방 모니터링을 강화하겠다"고 말했다. 류정민 기자 jmryu@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>