27개 해킹사이트 이메일 계정 해킹사건 조사결과…"탈취 계정 저장방식과 IP 한수원 사건 동일"
[아시아경제 류정민 기자] 피싱사이트를 통해 외교부, 통일부, 국방부 공무원 이메일 계정을 조직적으로 탈취한 사건이 검찰에 적발됐다. 검찰은 북한 해킹조직 소행으로 추정할 정황을 포착한 뒤 사건 수사를 이어가고 있다.
대검찰청 사이버수사과는 스피어피싱 공격을 통한 이메일 계정 탈취 사건을 조사한 결과, 27개 피싱사이트를 통해 56개의 이메일 계정 패스워드가 유출된 사실을 적발했다고 1일 밝혔다.
검찰에 따르면 북한 해킹조직으로 추정되는 자가 지난 1월12월부터 6월16일까지 구글, 네이버, 다음, MS, qq, 정부부처, 방산업체, 주요 대학교를 사칭하는 27개의 피싱 사이트를 개설했다.
이러한 피싱 사이트들은 외교부, 통일부, 국방부 등 공무원과 출입기자, 북한 관련 연구소 교수·연구원, 방산업체 임직원 등 북한 관련 정보를 접하는 이들의 이메일 계정 90개를 탈취하려 한 것으로 조사됐다.
피해 대상자에게 사이트 보안담당자를 사칭해 '피싱(phishing)' 메일을 보낸 것으로 나타났다. "비밀번호가 유출되었으니 확인바란다"는 이메일을 전송하고 이메일 본문의 링크를 클릭하면 비밀번호 변경창이 뜨도록 해 비밀번호를 입력하도록 유도한 것으로 조사됐다.
이런 식으로 이메일 탈취를 시도해 90개의 이메일 계정 중 56개는 실제로 패스워드가 유출된 것으로 나타났다.
이번 사건에 사용된 피싱 사이트 개설 도메인 호스팅 업체, 보안 공지를 위장한 피싱 이메일의 내용, 피싱 사이트 웹 소스코드, 탈취 계정 저장 파일 형식, 범행에 사용된 중국 선양 IP(175.167.x.x) 등은 과거 한수원 사건과 동일한 것으로 조사됐다.
검찰은 이러한 내용을 토대로 북한 해킹 조직에 의한 소행으로 추정하고 있다.
검찰은 "피접속자 계정정보를 '접속 IP 파일명' 파일형태('192.168.150.133_result.txt')로 피싱 서버에 저장 후, 사후에 FTP로 접속해 수집해 가는 패턴 또한 동일하다"면서 "한수원 사건 당시 'Kimsuky' 계열 악성코드에 사용되었던 선양 IP 175.167.***.*** 대역이 본건 피싱 서버에 FTP 접속해 탈취된 계정 정보에도 사용됐다"고 설명했다.
검찰은 국가정보원, 한국인터넷진흥원(KISA) 등 유관기관과 연계해 해당 피싱 사이트를 폐쇄했다. 또 피해자 계정에 대한 비밀번호 변경 등 계정 보호조치를 실시했다.
검찰은 ▲외부 인터넷 사용을 가능하면 자제(업무상 필요한 경우만 허용) ▲주요업무 수행시 컴퓨터 초기화 ▲바이러스 정밀검색 ▲망분리 또는 인터넷 차단 등 보안조치 강구를 당부했다.
검찰 관계자는 "인터넷상 검색과 다운로드 과정에서 각종 악성코드 유포·공격이 빈번하게 이뤄져 백신 프로그램만으로 예방하기에는 역부족이다"라며 "탈취계정에 의한 추가 해킹·자료유출 방지를 위한 예방 모니터링을 강화하겠다"고 말했다.
류정민 기자 jmryu@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>