북한 해킹조직 '김수키'(Kimsuky)가 국내외 경유 서버를 이용해 공무원 등 내국인 1000여 명의 이메일 계정을 탈취한 것으로 드러났다.
 
21일 경찰청 국가수사본부에 따르면 김수키는 전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명 등 내국인 1468명의 이메일 계정을 탈취했다. 이 중에는 자영업자와 회사원 등 다양한 직군의 일반인 1411명의 계정도 있던 것으로 전해졌다.
 
지난해 해킹 당시 피해자 대상과 비교하면 공격 대상이 약 30배로 늘었고 분야도 전방위적으로 확산됐다는 분석이다.
 
경찰 조사에 따르면 김수키는 국내외 서버 576대(43개국, 국내 194대)를 경유해 IP주소를 바꾸고 정부기관이나 기자·연구소 등을 사칭해 안내문이나 질의서 등의 내용으로 위장한 피싱 이메일을 발송했다. 피싱 이메일에는 첨부 파일 열람 시 PC 정보를 유출하는 악성 프로그램을 심었다.
 
김수키는 이를 통해 피해자의 이메일 계정에 부정 접속하고 주소록과 첨부파일 등의 자료를 유출했다. 다만 경찰은 탈취 정보 중 기밀자료는 없었던 것으로 확인됐다고 밝혔다.
 
이들은 가상자산을 노리고 피싱 이메일에 인터넷주소(URL)를 삽입해 가짜 누리집으로 접속을 유도하는 수법도 사용한 것으로 확인됐다. 실제 김수키는 사칭 이메일 피해자 중 19명의 가상자산거래소 계정에 부정 접속해 가상자산 절취를 시도했다. 그러나 엄격한 보안 절차로 실제 자산 유출은 미수에 그쳤다.

경찰은 김수키가 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 미만을 채굴한 사실도 파악했다.
 
경찰은 북한 해킹조직으로 인한 피해를 막기 위해 외교부 등 관계기관 및 미국 정부, 유엔 등과 정보를 공유하고 협력하고 있다고 밝혔다. 이어 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고, 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등 관련 정보도 제공 중이라고 덧붙였다.

경찰 관계자는 "북한 해킹조직의 공격이 전방위적으로 확대되는 만큼 추가적인 피해가 발생하지 않도록 인터넷 사용자의 주의가 필요하다"며 "이메일과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 IP 접속 차단 등 보안 설정을 강화해달라"고 당부했다.