감염 안 돼 실제 피해는 없어
지난 7월 발생한 가상화폐인 비트코인을 거래하는 국내 업체들을 대상으로 한 해킹 사건이 북한 해커의 소행인 것으로 밝혀졌다.
앞서 2014년 한국수력원자력 해킹과 2016년 청와대 사칭 이메일 발송 등 북한발 해킹 사건에서도 이 IP주소가 확인됐다. 북한 해커들은 경찰이나 검찰, 금융보안원 등을 사칭해 해당 직원들에게 악성코드가 심어져 있는 파일을 첨부한 이메일을 보낸 뒤 첨부파일을 클릭하면 악성코드에 감염되도록 유도하는 수법을 사용했다. 해당 이메일을 받은 업체 직원들 중 실제로 첨부파일을 클릭한 직원이 있었을 정도로 북한 해커들의 피싱 메일은 정교하게 제작됐다. 경찰을 사칭해 수사 협조요청 공문처럼 제작한 이메일에는 실존 인물의 수사관 신분증 사본을 첨부하기까지 했다.
경찰은 북한 해커들이 거래소 직원의 컴퓨터를 악성코드로 감염시킨 뒤, 회사 내부망을 해킹해 비트코인을 탈취할 목적으로 범행을 저지른 것으로 보고 있다. 경찰 관계자는 “일부 직원들이 클릭한 악성코드는 당시 가동된 백신 프로그램 덕분에 현재까지 악성코드에 감염된 비트코인 거래소 컴퓨터는 없는 것으로 확인됐다”고 말했다.
북한 해커들이 발송한 이메일 계정은 총 9개로 이 가운데 5개는 직접 가입해서 사용했고, 4개는 아이디와 비밀번호를 확보해 도용했다. 직접 가입한 계정은 국내에서 사용되고 있는 스마트폰을 악성코드에 감염시켜 스마트폰 인증방식으로 계정을 생성한 것으로 조사됐다.
감염된 스마트폰을 사용한 피해자는 경찰이 도용된 사실을 알려줄 때까지 스마트폰이 감염됐다는 사실도 몰랐던 것으로 드러났다. 경찰은 다른 비트코인 탈취 사건도 북한 해커의 연계 가능성을 배제하지 않고 있다.
박재홍 기자 maeno@seoul.co.kr
2017-09-28 9면
