북한 해킹조직이 올해 정부 기관·언론사 등으로 속인 이메일을 무차별적으로 보내 국방·외교 분야 전문가를 비롯해 일반인까지 총 1468명에게 피해를 준 것으로 나타났다. 21일 경찰청 국가수사본부는 한 결과, 올해는 일반인을 포함해 1468명이 이메일 계정을 탈취당하는 등의 피해를 보았다고 밝혔다. 앞서 수사본부는 지난해 북한 해킹조직의 소행으로 적발된 ‘국회의원실·기자 등 사칭 전자우편(이메일) 발송사건’을 계속 추적·수사해 왔고 해당 사실을 확인했다. 피해자 중 외교·통일·국방·안보 분야의 전현직 공무원 등 전문가는 57명이었으며 전직 장관도 포함된 것으로 확인됐다. 이 밖에도 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다. 일명 ‘킴수키’로 불리는 북한 해킹조직은 경찰청·국세청·건강보험 등 정부 기관이나 기자, 연구소 등으로 속여 안내문이나 질의서 등 수신자가 관심을 가질 수 있는 내용으로 위장한 이메일을 발송하고 있다. 이메일에 첨부된 파일을 열람하면 개인용컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성 프로그램이 설치·실행된다. 이메일에 포함된 인터넷주소를 누르도록 유인하는 사례도 확인됐다. 이 경우 피해자가 신뢰할 수 있는 기관이나 네이버·카카오 등 포털사이트를 모방한 가짜 홈페이지로 접속을 유도해 계정정보를 탈취했다. 이들은 사칭한 이메일 수신자의 소속기관과 똑같은 형태의 홈페이지를 제작해 접속을 유도하고 피해자별로 특화된 공격을 전개하는 등 더욱 교묘해진 수법을 보였다고 경찰은 설명했다. 지난해 고위 공무원이나 전문가 등에 국한됐던 공격 대상이 전방위로 확산하는 것은 북한 해킹조직이 암호화폐를 노리고 있기 때문으로 분석된다. 북한 해킹조직이 탈취한 피해자 정보를 바탕으로 암호화폐거래소 계정에 부정 접속해 절취를 시도한 사실도 확인됐다. 해킹으로 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실도 드러났다. 경찰은 해킹에 사용된 인터넷주소나 경유지 서버는 물론 악성코드 유형까지 기존 북한 해킹조직이 사용한 것과 유사하다는 점을 근거로 킴수키의 소행으로 판단했다. 경찰은 북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가 피해가 발생하지 않도록 이메일과 암호화폐거래소 계정의 비밀번호를 주기적으로 변경할 것을 권고했다. 사칭 이메일에 포함된 피싱 사이트 링크가 정상 홈페이지와 외관이 같은 만큼 인터넷 주소가 정확한지 확인할 필요가 있다고 했다.

3국 고위급 안보 책임자 회의 신설·정례화 한미일 3국이 고위급 사이버 협의체를 신설하고 북한의 불법 사이버 활동에 대응하기로 했다.국가안보실은 지난 8월 3국 정상의 미국 캠프 데이비드 합의를 이행하기 위해 고위급 안보 책임자의 회의를 신설하고 분기별로 회의를 정례화하기로 했다고 6일 밝혔다. 인성환 국가안보실 2차장은 지난달 31일(현지시간) 미국 워싱턴DC에서 앤 뉴버거 미국 국가안전보장회의(NSC) 사이버·신기술 담당 국가안보 부보좌관, 이치가와 케이이치 일본 국가안전보장국 차장을 만나 협의체 신설에 합의했다. 앞서 윤석열 대통령은 조 바이든 미국 대통령, 기시다 후미오 일본 총리와의 캠프 데이비드 한미일 정상회의 이후 북한의 사이버 위협에 대응하기 위한 3자 실무그룹 설치를 발표한 바 있다. 안보실은 또 한국과 호주 간에도 사이버 안보 위협 공동 대응에 공감대를 형성했다고 밝혔다. 인 차장은 지난달 30일(현지시간) 대런 골디 호주 국가 사이버 안보 조정관과 면담에서 양국 실무그룹을 구성해 협력 범위·대상, 실무그룹 구성·일정 등을 협의하기로 했다. 국가안보실은 “한미일 3국 사이버 협력 강화와 호주 등 자유민주주의 가치를 공유하는 국가들과의 협력을 지속적으로 추진하기 위해 다각적인 협력 방안을 모색하고 있다”면서 “이를 통해 국제 해킹조직으로부터의 잠재적 사이버 위협이 감소할 것으로 기대하고 있다”고 밝혔다. 인 차장은 사이버안보 협력을 위해 지난달 29일부터 지난 3일까지 워싱턴DC을 방문해 한미일 3국 회의와 국제 랜섬웨어 대응회의(CRI)에 참석하고 미국·일본·호주 등의 주요 인사들과 면담을 가졌다.

중앙선거관리위원회(선관위)의 투·개표 관리 시스템이 북한 등 외부 해킹 세력에게 언제든 침투당할 수 있는 부실한 상태로 드러났다. 대통령, 국회의원 총선거 등 전국 단위 선거에 사용되는 선관위 내부망의 보안관리도 부실해 공격 세력이 의도하면 실제 투·개표 결과까지 조작할 수 있는 것으로 나타났다. 10일 국가정보원과 선관위와 한국인터넷진흥원(KISA)은 판교 사이버안보협력센터에서 브리핑을 열고 선관위·국정원·KISA 3개 기관 합동으로 7월 17일~9월 22일 실시한 선관위 사이버 보안관리에 대한 점검 결과를 공개했다. 합동 점검은 가상의 해커가 모든 기술을 동원해 실제 선관위 전산망 침투를 시도하는 방식으로 진행됐다. 먼저 유권자 등록 현황과 투표 여부를 관리하는 선관위의 ‘통합 선거인 명부 시스템’은 인터넷을 쉽게 통해 침투할 수 있고, 접속 권한과 계정 관리도 부실해 수시로 해킹이 가능한 것으로 확인됐다. 선거인명부에서 사전 투표한 인원을 투표하지 않은 인원으로 표시하거나, 반대로 분류하는 것도 가능했다. 심지어 존재하지 않는 유령 유권자를 정상적인 유권자로 등록할 수도 있었다. 가상 해커들은 사전 투표용지에 날인되는 선관위 청인과 투표소 사인을 빼내는 데 성공했고, 용역업체 직원이 쓰는 프로그램을 활용해 실제 사전투표용지와 QR코드가 같은 투표지를 대량 인쇄할 수 있었다. 개표 시스템 보완 관리 미흡해 개표 결과도 조작 가능 사전투표소에 설치된 통신장비에 외부의 비인가 컴퓨터도 연결할 수 있어 내부 선거망으로 침투할 수 있었다. 투표지 분류기에서는 비인가 휴대용 저장장치를 무단으로 연결해 해킹 프로그램을 설치할 수 있었다. 이를 통해 개표 결과가 저장되는 ‘개표 시스템’에 해커가 개입해 실제 후보별 개표 결괏값도 변경할 수 있는 것으로 나타났다. 선관위의 전반적인 시스템 자체도 해킹에 취약한 것으로 파악됐다. 주요 시스템에 접속할 때 선관위에서 사용하는 비밀번호는 12345처럼 단순하게 쓰거나 관리자 패스워드로 손쉽게 유추할 수 있었다는 게 국정원 설명이다. 중요 정보를 처리하는 내부 전산망의 보안 정책이 미흡해 전산망 간 통신이 가능했고 선관위 업무망·선거망 등 내부 중요망까지 침입할 수 있었다. 실제 해킹 사고가 발생한 이후 선관위의 후속 조치도 미흡한 것으로 나타났다. 국정원에 따르면 2021년 4월 선관위의 인터넷 컴퓨터가 북한 ‘김수키’ 조직의 악성코드에 감염돼 메일함에 저장됐던 대외비 문건 등 업무 자료가 유출된 사실도 드러났다. 선관위는 지난해 ‘주요 정보통신 기반 시설 보호 대책 이행 여부 점검’을 자체 평가한 결과 ‘100점 만점’이었다고 통보했지만, 이번 점검에서 재평가했더니 31.5점에 불과했다고 국정원은 전했다. 국정원은 “국제 해킹조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있어 북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황”이라면서 “선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의하고, 취약한 비밀번호는 즉시 보완했다”고 밝혔다.

북한 해킹조직인 ‘김수키’(Kimsuky)가 한미연합연습을 노리고 사이버 공격을 시도한 정황이 확인됐다. 경기남부경찰청 안보수사과는 한미연합연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 3월까지 수차례 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 확인됐다고 20일 밝혔다. 김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 끝에 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취하고,컴퓨터에 악성코드를 심는 데에 성공했다. 김수키는 이후 원격 접속을 통해 A사 직원들의 신상정보를 가로챈 것으로 드러났다. 김수키는 탈취한 자료를 바탕으로 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다. 이를 받은 A사 직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 보안시스템에 의해 해당 파일이 열리지 않았다고 한다. 수사 결과 군 관련 정보가 김수키 측에 흘러 들어간 정황은 나타나지 않았다. 다만 일부 직원이 해당 전자우편을 외부의 개인 전자우편 계정으로 재전송해 열람했고, 이 과정에서 개인용 컴퓨터가 악성코드에 감염된 사례가 있었다고 경찰은 설명했다. 경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 ‘한국수력원자력 해킹 사건’에서 사용된 IP 대역과 일치하는 사실을 파악했다. 아울러 기존 공격과 유사성, ‘념두’ 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다. 경기남부경찰청 이상현 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례이다”라며, “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다”라고 밝혔다.

최근 한미연합연습 전투모의실에 파견된 직원들이 입은 해킹 피해가 북한 해킹조직 ‘김수키(Kimsuky)’ 소행인 것으로 파악됐다. 경기남부경찰청 안보수사과는 올해 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 전자우편 사건을 수사한 결과 북 해킹조직이 범행한 것으로 확인됐다고 20일 밝혔다. 경찰에 따르면 경유지 구축 방법 등 기존 공격과 유사성, 전자우편상 북한식 어휘 ‘념두(염두)’ 등 사용, 한미연합연습 시기에 맞춰 공격한 점 등을 종합적으로 고려해 북한 해킹조직 소행이라고 판단한 것이다. 특히 이번 공격에 사용된 아이피(IP)주소는 2014년 발생한 ‘한국수력원자력 해킹 사건’ 당시 쓰인 아이피와 일치했다.김수키는 작년 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했다. 올해 1월경에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 조사됐다. 이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다. 김수키의 범행은 여기서 멈추지 않았다. 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다. 일부 직원이 해당 전자우편을 외부 계정으로 재전송하는 과정에서 개인용 컴퓨터가 악성코드에 감염되기도 했다. 이상현 경기남부경찰청 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례다”며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획”이라고 전했다.

중국에서 활동하는 해커 집단으로 의심되는 조직이 미주 대륙 국가의 외교부를 공격했다는 연구 결과가 나왔다. 미국 반도체 기업 브로드컴이 운영하는 보안 소프트웨어 업체 시만텍은 21일(현지시간) 보고서를 통해 “‘플리’라는 이름의 해커 집단이 지난해 말부터 올해 초까지 일부 국가의 정부 부처 기관을 공격했다”며 “‘APT15’, ‘니켈’로도 알려진 이 조직은 미주 대륙의 외교부를 집중 공격했다”고 밝혔다. 구체적인 국가명은 거론하지 않았다. 플리는 2004년부터 세상에 알려졌으며, 최근에는 양질의 정보 수집을 위해 각국 정부 조직과 외교 기관을 공격하고 있다. 중남미 지역에서 제품을 판매하는 기업도 이들의 표적이 됐다고 시만텍은 덧붙였다. 마이크로소프트(MS)는 이 조직을 두고 “중국에 기반을 둔 해커 집단”이라고 분석했다. 구글 클라우드의 사이버 보안 기업인 맨디언트도 “중국과 관련 있을 가능성이 높다”고 설명했다고 블룸버그통신이 전했다. 특히 플리는 보안 시스템을 우회해서 컴퓨터 시스템에 접근하는 이른바 ‘백도어’를 활용해 공격에 나섰다. 백도어는 정식 인증을 거치지 않고도 PC나 서버 시스템에 접근할 수 있도록 돕는 프로그램이다. 미국 정부가 중국 통신장비 업체 화웨이를 제재한 것도 ‘중국 공산당의 요구에 따라 자사 제품에 비밀리에 백도어를 설치했다’는 이유였다. 이에 대해 시만텍은 “플리가 백도어를 사용한 것은 이 조직이 사이버 공격을 위해 새로운 도구를 적극적으로 개발하고 있음을 잘 보여 준다”고 설명했다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”며 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며 현재 피싱사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보 공유로 해킹조직 활동을 추적하고 있다”며 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 국정원은 특히 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의를 당부했다. 한편 방미 중인 김건 외교부 한반도평화교섭본부장은 13일(현지시간) 브라이언 넬슨 미 재무부 테러·금융정보차관과 면담하고 북한의 불법적 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트 관계자들과 간담회도 열었다. 김 본부장은 “북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협”이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고, 앞으로도 “긴밀히 협력하자”고 말했다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민들을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”면서 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 현재 피싱 사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다”면서 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 아울러 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의도 당부했다. 외교부는 김건 외교부 한반도평화교섭본부장이 미국 워싱턴DC를 방문해 브라이언 넬슨 재무부 테러·금융정보 차관과 면담하고 북한의 불법적인 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미국의 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또한 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자 제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력의 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트와 간담회도 열었다. 김 본부장은 북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고 앞으로도 긴밀히 협력하자고 말했다.

북한이 포털사이트 ‘네이버’를 복제한 피싱 사이트를 만들어 해킹을 시도하고 있는 사실이 확인돼 국정원이 포털 이용자들에게 주의를 당부했다. 14일 국가정보원은 북한이 네이버를 실시간으로 복제한 피싱 사이트로 해킹을 시도하고 있다고 밝혔다. 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 베껴 홈페이지를 만든 것으로 확인됐다. 국정원은 사이트 외관만으로는 북한의 가짜 사이트를 구분하기 어렵다면서 북한이 개인정보 탈취 가능성을 높이기 위해 공격 수법을 다변화한 것으로 파악했다. 과거 북한은 네이버 로그인 페이지를 복제하는 방식으로 국내 이용자들의 아이디·비밀번호 등을 탈취한 이력이 있다. 국정원은 관련 사실을 국가기관, 공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 이들 기관은 현재 피싱 사이트에 대한 접속 차단 조치를 진행하고 있는 것으로 알려졌다. 국정원 측은 해당 복제 피싱 사이트의 서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다면서 피해 차단을 위해 다각적으로 대응할 계획이라고 밝혔다. 아울러 포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다고 당부했다.

지난해 국내 외교·국방·안보 분야 전문가에게 유포된 악성 ‘피싱 메일’이 북한 해킹조직인 ‘김수키’의 소행인 것으로 확인됐다. 이들이 보낸 메일에 속아 피싱 사이트에 접속해 계정 정보를 빼앗긴 피해자는 전직 장차관급 3명을 포함해 모두 9명이다. 해킹조직은 피해자 메일함을 2~4개월간 들여다보면서 첨부 문서와 주소록 같은 정보를 빼내 간 것으로 조사됐다. 경찰청 국가수사본부는 지난해 4∼8월 외교·안보 전문가 150명에게 대량 유포된 악성 전자우편 발송 사건 수사 결과를 7일 발표했다. 경찰은 피싱 메일 5800여개 분석으로 공격 근원지의 인터넷 프로토콜(IP) 주소, 경유지 구축 방식을 확인한 뒤 김수키를 지목했다. ‘봉사기’(서버), ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘나 문구를 사용한 점도 북한 해킹조직의 소행으로 판단한 근거다. 2014년 한국수력원자력 해킹 사건으로 명성을 얻은 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 해킹조직 중 하나다. 우리 정부는 지난 2일 김수키를 독자 대북제재 명단에 올렸다. 이들은 국내 36개, 해외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 IP 주소를 세탁해 피싱 메일을 발송한 것으로 조사됐다. 서버를 장악한 이후 이들은 교수, 연구원, 기자 등을 사칭해 책자 발간이나 논문 관련 의견, 인터뷰 등을 요청하는 메일을 보냈다. 경찰청 관계자는 “지난해 새 정부 출범을 전후해 피해자들의 지인이나 안보 분야 오피니언 리더를 사칭하는 방법으로 접근했다”고 설명했다. 이들은 피해자가 답장을 보내면 본인 인증이 필요한 대용량 문서 파일을 첨부해 메일을 다시 발송했다. 피해자가 본인 인증을 위해 피싱 사이트에 접속하면 계정 정보가 이들에게 자동으로 넘어가는 방식이었다. 정보를 빼낸 뒤에도 이들은 ‘감사하다’는 내용의 답장을 보내 의심을 차단했다. 경찰은 전직 장차관급 3명, 현직 공무원 1명, 학계와 전문가 4명, 기자 1명 등 모두 9명이 피해를 입은 것으로 파악했다. 해킹조직은 메일 송수신 내역을 2∼4개월간 실시간 모니터링하면서 첨부문서와 주소록 등 정보를 탈취했다. 다만 경찰은 “해킹조직이 빼내 간 정보 중에 기밀자료는 없는 것으로 파악했다”고 밝혔다. 아울러 경찰은 이들이 사용한 국내외 서버에서 가상자산(암호화폐) 지갑 주소 2개가 발견된 것과 관련해 금전 탈취 시도가 있었다고 보고 수사를 이어 가고 있다.

지난해 국내 외교·국방·안보 분야 전문가에게 유포된 악성 ‘피싱 메일’이 북한 해킹조직인 ‘김수키’의 소행으로 확인됐다. 경찰 수사 결과, 이들이 보낸 메일에 속아 피싱 사이트에 접속해 계정 정보를 빼앗긴 피해자는 전직 장·차관급 3명, 현직 공무원 1명, 학계와 전문가 4명, 기자 1명 등 모두 9명에 달했다. 경찰청 국가수사본부는 지난해 4∼8월 외교·안보 전문가 150명에게 대량 유포된 악성 전자우편 발송 사건 수사 결과를 7일 발표했다. 경찰은 공격 근원지 IP 주소, 경유지 구축 방식, ‘봉사기’(서버)나 ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘나 문구를 사용한 점을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 국내 36개, 해외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 IP주소를 세탁해 피싱 메일을 발송한 것으로 조사됐다. 서버를 장악한 이후 이들은 교수, 연구원, 언론사 기자 등을 사칭해 책자 발간이나 논문 관련 의견, 인터뷰 등을 요청하는 메일을 보냈다. 경찰청 관계자는 “지난해 새 정부 출범을 전후해 피해자들의 지인이나 안보 분야 오피니언 리더를 사칭하는 방법으로 접근했다”고 설명했다. 이들은 피해자가 답장을 보내면 본인 인증이 필요한 대용량 문서 파일을 첨부해 메일을 다시 발송했다. 피해자가 본인 인증을 위해 피싱 사이트에 접속하면 계정정보가 이들에게 자동으로 넘어가는 방식이었다. 정보를 빼낸 뒤에도 이들은 ‘감사하다’는 내용의 답장을 보내 의심을 차단했다. 실제로 경찰이 연락하기 전까지 피해를 본 사실을 모르는 경우가 대다수였다.이들은 전직 고위 공무원 등 피해자들의 메일 송수신 내역을 2∼4개월간 실시간 모니터링하면서 첨부문서와 주소록 등을 빼내 간 것으로 조사됐다. 다만 경찰은 “탈취된 정보 중에 기밀자료는 없는 것으로 확인됐다”고 밝혔다. 아울러 경찰은 이들이 사용한 국내외 서버에서 가상자산(암호화폐) 지갑 주소 2개가 발견된 것과 관련해 금전 탈취 시도도 있었다고 보고 수사를 이어가고 있다. 암호화폐 지갑에선 200만원 상당의 거래가 이뤄진 것으로 알려졌다.

경기남부경찰청 안보수사과는 25일 사이버보안 전문가들과 공동으로 북한의 해킹 공격 대응을 위한 ‘사이버 안보 워킹그룹’ 간담회를 개최했다고 밝혔다. ‘사이버 안보 워킹그룹’은 국가안보를 위협하는 해킹조직에 대한 심도있는 연구와 정보 공유를 위해 지난 2021년 발족했고, IT·보안업체 (플레인비트, S2W, 카스퍼스키, 지엠디소프트)와 한국인터넷진흥원등의 전문가로 구성돼 있다. 북한의 악성코드 유포, 암호화폐 탈취 등 사이버 안보 위협이 급증하는 가운데 열린 이번 간담회에서 이상현 안보수사과장은 “민간·공공 기관에 이르기까지 긴밀하고 유기적으로 협력을 해야 급변하는 북한의 사이버안보 위협에 대응할 수 있다”고 강조했다. 그는 또 “간담회를 통해 든든한 동반자적 관계를 유지하고 기술과 정책을 함께 연구하고 발전시켜 나가자”고 제안을 했다. 이어진 사례 발표에서 지난 3월 발생한 북한의 라자루스해킹그룹의 금융보안인증 소프트웨어의 취약점을 악용한 공격 사건의 수사결과 소개가 있었다. 이 사건은 북한이 국내 1000만대 이상 PC에 설치돼 인터넷뱅킹 등 전자금융서비스 이용에 필수적인 소프트웨어 취약점을 악용하고 국민 다수가 접속하는 언론사 인터넷사이트를 악성코드 유포 매개체로 활용해 피해가 대규모로 확산될 위험이 있었던 해킹 사건이다. 사이버안보워킹그룹간 긴밀한 공조로 악성코드를 신속히 발견하고 관련 보안취약점을 백신프로그램에 반영함과 동시에 피해업체에 대한 보안조치를 진행해 추가 피해를 막을 수 있었다. 특히 이사건은 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨후 방문자가 해당사이트에 접속시 방문자의 컴퓨터에 악성코드를 추가로 설치하는 ‘워터링홀방식’(Watering Hole)의해킹 공격을 수사를 통해 밝혀낸 최초의 사건이다. 이 과장은 “지난해 11월 보안인증 소프트웨어 취약점을 악용한 악성코드가 유포되고 있다는 제보를 입수해 조사에 착수했고, 소프트웨어 취약점을 악용하고 사이트를 감염시킨후 방문자가 해당사이트에 접속시 방문자의 컴퓨터에 악성코드를 추가로 설치하는 북한의 라자루스해킹조직의 수법과 일치한다는 것을 확인했다” 밝혔다. 이 과장은 “해킹 피해를 방지하기 위해서는 ▲백신 최신버전 업데이트 ▲S/W 취약점 점검·패치 적용 ▲문서 암호화 등 보안 수칙 생활화가 중요하고, 무엇보다도 해킹이 의심될 경우 신속하게 경찰 등 관련 기관에 신고하는 것이 더 피해를 예방하는 방법”이라고 조언했다. 한편, 경기남부경찰청은 이날 간담회에 참석한 플레인비트 이준형 책임연구원 등 5명에 대해 감사장을 수여하고 사이버 안보 워킹그룹간 협조를 당부했다.

지난 3년간 북한발 사이버 공격의 74%가 네이버나 다음 등 포털을 사칭한 이메일 피싱 공격으로 나타났다. 국가정보원이 25일 공개한 ‘2020 ~2022년 북한 해킹조직 사이버 공격 통계’에 따르면 대한민국을 상대로 한 북한 사이버 공격 중 이메일을 악용한 해킹 공격의 비중이 가장 높았다. 이어 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%), 특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법이 뒤를 이었다. 해킹 메일을 사칭한 기관으로는 포털 네이버와, 카카오가 운영하는 다음이 각각 45%와 23%였다. 금융·기업·방송언론을 사칭한 경우도 12%, 외교안보 기관을 사칭한 경우도 6%를 차지했다. 특히 북한은 수신자가 메일을 쉽게 열람하도록 발신자명과 메일 제목을 교묘하게 변형했다. 발신자를 포털사이트 운영자인 것처럼 가장했고 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’으로 표시했다. 국정원 관계자는 “북한이 해킹 메일로 확보한 계정정보를 이용해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 말했다. 국정원은 이메일을 열람할 때 발신자명과 함께 ‘관리자 아이콘’을 확인하고 공식 관리자 메일 주소인지 등을 점검하라고 당부했다. 국정원 관계자는 “북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다”며 “네이버와 다음 등 국내 주요 포털사이트 운영사와 해킹 메일 차단 방안 마련을 위한 정보 공유를 강화하겠다”고 밝혔다.

지난 3년간 북한발 사이버 공격의 74%가 포털 네이버나 다음 등을 사칭한 이메일 피싱 공격으로 나타났다. 국가정보원이 25일 공개한 ‘2020~2022년 북한 해킹조직 사이버 공격 통계’에 따르면 대한민국을 상대로한 북한 사이버 공격 중 이메일을 악용한 해킹 공격의 비중이 가장 높았다. 이어 보안프로그램 약점을 뚫는 ‘취약점 악용’(20%), 특정사이트 접속시 악성코드가 설치되는 ‘워터링 홀’(3%) 수법이 뒤를 이었다. 해킹 메일을 사칭한 기관으로는 포털 네이버와, 카카오가 운영하는 다음이 각각 45%와 23%였다. 금융·기업·방송언론을 사칭한 경우도 12%, 외교안보 기관을 사칭한 경우도 6%를 차지했다.특히 북한은 수신자가 메일을 쉽게 열람하도록 발신자명과 메일 제목을 교묘하게 변형했다. 발신자를 포털사이트 운영자인 것처럼 가장했고 이메일 주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표시했다. 국정원 관계자는 “북한이 해킹 메일로 확보한 계정정보를 이용해 2~3차 공격 대상자를 선정해 악성코드 유포 등 공격을 수행하고 있다”고 설명했다. 국정원은 이메일을 열람할 때 발신자명과 함께 ‘관리자 아이콘’ 확인하고 공식 관리자 메일 주소인지 등을 점검하라고 당부했다. 국정원 관계자는 “북한이 대한민국 국민 전체를 대상으로 해킹 공격을 하고 있다”며 “네이버와 다음 등 국내 주요 포털사이트 운영사와 해킹 메일 차단 방안 마련을 위한 정보 공유를 강화하겠다”고 밝혔다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP 주소, IP 주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 경찰청 관계자는 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”고 말했다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP주소, IP주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 경찰청 관계자는 “암호화돼 있는 비밀번호를 풀어보니 이런 단어를 사용한 것”이라며 “그동안 남한 쪽 여러 기관을 해킹하는 과정에서 압수되거나 공격이 막힌 것에 대한 메시지로 보인다”고 설명했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 서울대병원 내부망에 침투하기 위해 여러 서버를 살피던 이들은 게시판 글쓰기 기능에서 사진과 파일을 업로드할 때 악성코드를 심을 수 있다는 취약점을 발견했다. 이후 이들은 서울대병원 내부망에 침투해 각종 개인정보를 빼냈다. 경찰은 이들이 환자 81만여명, 전현직 직원 1만 7000명 등 모두 83만명의 개인정보를 빼낸 것으로 판단했다. 경찰은 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”며 “아직까지 개인정보 유출 이후 2차 피해가 확인되거나 신고가 접수된 경우는 없다”고 설명했다. 북한 해킹조직은 조직검사와 세포 검사 등 병리 검사 사진과 진단명 등이 저장됐던 서버를 주 타깃으로 삼은 것으로 조사됐다. 유출 정황이 확인된 환자 81만명의 정보도 모두 병리 검사 결과가 저장됐던 서버에서 새 나갔다. 경찰청 관계자는 “피의자 검거 이후 진술을 받아야 해킹 목적을 확인할 수 있지만, 이번 사건은 검거가 불가능하다”면서도 “다만 주요 인사 등에 대한 진료 정보를 빼내기 위한 것이 목적으로 서울대병원을 해킹한 것으로 보인다”고 말했다. 다만 주요 인사의 진료 정보가 실제로 유출됐는지에 대해선 “확인해주기 어렵다”고 했다.

가상화폐 거래소와 관련 업체 등이 협력해 140만 달러(약 18억원) 상당의 가상화폐가 들어있는 북한 해킹 조직의 계좌를 동결한 것으로 나타났다. 16일 자유아시아방송(RFA)에 따르면 영국 블록업체 분석업체인 엘립틱 엔터프라이즈는 지난 14일(현지시간) 세계 최대 가상화폐 거래소인 바이낸스와 후오비 등 2곳이 북한 연계 해킹조직 라자루스의 탈취 자금이 들어 있는 가상화폐 계좌를 동결했다고 밝혔다. 동결된 계좌에는 약 140만 달러 상당의 가상화폐가 들어있었으며 이는 라자루스가 지난해 6월 블록체인 기술 기업 ‘하모니’에서 탈취한 1억 달러 상당 가상화폐 중 일부인 것으로 확인됐다. 엘립틱은 “탈취 자금이 복잡한 거래 과정을 거쳐 거래소에 유입된 것을 확인했다”면서 “이를 신속하게 거래소 측에 알려 계좌를 정지하고 자금을 동결할 수 있었다”고 설명했다. 미 당국은 최근 북한 해킹 조직이 미 당국의 제재를 회피하기 위해 새로운 믹서 기술(가상화폐를 쪼개 전송자를 알 수 없도록 만드는 기술)을 이용하는 정황이 포착된 데 대해 민관 협력의 중요성을 강조했다. 미 국무부 대변인은 RFA에 “북한 사이버 위협의 완화를 위해 정부와 네트워크 보안 담당자들, 사기업, 일반인들이 경계하고 협력하는 것이 필수적”이라며 “문제 해결을 위해 동맹국, 협력국과 계속 긴밀히 협력하고 있다”고 말했다. 이어 “북한이 10억 달러 이상을 갈취하기 위해 금융기관과 가상화폐 거래소, 가상자산 서비스 업체를 더 많이 겨냥하고 있다”며 “이런 활동이 북한의 대량살상무기(WMD) 및 탄도미사일 프로그램에 직접 관여한 기관 등 유엔 제재 대상인 북한 기관에 막대한 자금을 제공할 수 있다”고 지적했다. 이와 관련해 한국 정부도 북한의 핵·미사일 개발 자금으로 전용되는 불법 사이버 활동에 대응하기 위해 지난 10일 사이버 분야 첫 대북 독자제재에 나서는 등 국제사회의 사이버 분야 제재에 동참하고 있다. 제재 리스트에 오른 북한 개인, 기관 중에는 라자루스 그룹의 가상자산 지갑 주소 8개도 포함돼 있다.

우리나라 기관 등에 대한 사이버 공격을 예고했던 중국 해킹 그룹이 실제로 우리말학회 등 12개 학술기관의 홈페이지를 해킹한 것으로 확인됐다. 연합뉴스에 따르면 한국인터넷진흥원(KISA)은 25일 “설 당일인 22일 홈페이지가 해킹된 대한건설정책연구원을 포함해 12개 기관 홈페이지에서 해킹이 이뤄진 것을 확인했다”고 밝혔다. 홈페이지 해킹이 확인된 곳은 우리말학회, 한국고고학회, 한국학부모학회, 한국교원대학교 유아교육연구소, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재활학회, 제주대학교 교육과학연구소, 한국교육원리학회다. 중국 해킹그룹 ‘샤오치잉’은 KISA에 대한 해킹 공격도 예고했으나, 현재 KISA 홈페이지 등에서 확인한 특이점이 없는 것으로 전해졌다. 과학기술정보통신부는 최근 중국 해킹조직이 우리나라 기관 등에 대한 사이버 공격을 예고하자 이종호 장관이 한국인터넷진흥원 인터넷침해대응센터(KISC)를 방문해 비상 대응 체계를 긴급 점검한 바 있다.

지난해 미국 블록체인 기업을 해킹해 암호화폐 1억 달러(약 1235억원)를 탈취당한 사건이 북한 해킹조직의 소행인 것으로 조사됐다고 미 연방수사국(FBI)이 밝혔다. 23일(현지시간) 블룸버그통신 등에 따르면 FBI는 이날 성명에서 북한 연계 해킹 조직 ‘라자루스’와 ‘APT38’이 지난해 6월 블록체인 기술 기업 하모니의 호라이즌 브리지를 해킹한 것으로 조사됐다고 밝혔다. 호라이즌 브리지는 서로 다른 종류의 암호화폐 간 거래를 가능하게 해주는 하모니의 브리지 서비스 중 하나다. 라자루스 그룹은 북한 정찰총국 소속 해킹 단체이며 APT38은 북한 정권의 지원을 받는 것으로 추정되는 금융 전문 북한 해커 조직이다. FBI는 지난 13일 이들 해킹조직이 지난해 6월 훔친 6000만 달러(약 741억원) 이상의 이더리움을 익명 거래 프로토콜 ‘레일건’을 통해 세탁했다고 설명했다. 그중 일부는 여러 암호화폐 거래소에 이전돼 비트코인으로 전환된 것으로 드러났다. FBI는 “암호화폐 해킹으로 조달된 자금은 북한의 탄도 미사일, 대량살상무기 프로그램을 지원하는 데 사용된다”고 언급했다. 앞서 하모니 측이 지난해 암호화폐를 해킹당했다는 사실을 밝힌 뒤 업계에서는 해킹의 배후로 북한을 꼽았다. 이와 관련해 바이낸스 최고경영자(CEO) 자오창펑은 최근 트위터를 통해 “그들(해커)은 앞서 바이낸스를 통해 자금 세탁을 시도했고, 우리는 그들의 계좌를 동결했다”고 주장하기도 했다. 브리지는 한 블록체인에 저장된 암호화폐를 다른 블록체인으로 보낼 때 사용되는 소프트웨어로 해커들의 단골 표적으로 알려져 있다. 블록체인 분석업체 체이널리시스에 따르면 지난해 한 해 브리지를 겨냥한 13차례 해킹으로 20억 달러 상당의 암호화폐가 도난당했다. 또 지난해 1월 발표한 보고서에서 북한 관련 사이버 공격으로 도난당한 자산의 가치가 2020~2021년 40% 증가했다는 분석을 내놨다. 지난해 12월 국정원은 북한 해커들이 지난 5년간 약 1조 5000억원의 가상자산을 훔쳤으며 지난해 한해에만 8000억원을 훔쳤다고 밝혔다. FBI는 지난해 3월 벌어진 6억 달러 규모의 가상화폐 해킹 사건도 라자루스의 소행으로 발표했다. 북한은 이러한 의혹들에 대해 ‘악의적인 소문’이라면서 해킹 공격 사실을 부인하고 있다.

“안녕하세요. 태영호 의원실 비서입니다.” 지난 5월 7일 국내 외교안보 전문가들에게 한 통의 메일이 도착했다. 태 의원실에서 주최한 세미나 ‘윤석열 시대 통일정책 제언’에서 발언한 취지를 A4 용지 1장 정도로 요약해 보내 달라는 부탁과 함께 ‘사례비 지급 의뢰서’가 첨부돼 있었다. 실제 태 의원실은 전날 서울 여의도 국회의원회관에서 해당 주제로 토론회를 열었다. 행사에 참석한 전문가가 메일을 받았다면 ‘피싱 메일’이라고 의심하기는 쉽지 않았을 것으로 보인다. 하지만 이 첨부파일은 PC 정보를 외부로 빼낼 수 있는 악성 프로그램이었다. 태 의원은 25일 기자회견을 열고 “북한 피싱 메일을 읽어 보면서 그 정교함에 놀랐다”며 “저도 처음에는 저의 의원실에서 보낸 메일인 줄 알고 보좌진에게 확인까지 했었다”고 말했다. 현역 의원을 사칭해 해킹을 시도한 북한 해킹조직이 경찰 수사로 발각됐다. 2013년부터 파악된 북한의 특정 해킹 조직으로 지난 10월에는 국립외교원을 사칭했고, 4월에도 제20대 대통령직인수위원회 출입기자라고 둘러댄 뒤 메일에 뉴스 링크라며 피싱 사이트 주소를 연결해 놨다. 경찰청 국가수사본부는 최근 기자, 국회의원실, 국가기관을 사칭해 외교안보 분야 전문가들에게 피싱 메일을 대량 유포한 일당을 추적한 결과 2014년 ‘한국수력원자력 해킹 사건’, 2016년 ‘국가안보실 사칭 이메일 발송 사건’ 등의 범행 주체로 지목된 북한 해킹 조직과 같은 조직이라고 결론 냈다. 경찰에 따르면 메일을 받은 외교·통일·안보·국방 분야 전문가는 최소 892명이나 됐다. 메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 파일이 첨부돼 있었다. 이 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 49명으로 잠정 집계됐다. 해킹 조직은 이들의 송수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 수사기관의 추적을 피하기 위해 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대(국내 87대)의 경유지 서버를 동원했다. 이 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ‘랜섬웨어’를 살포해 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 처음이다.