서울시 공무원 사칭 메일, 北 '김수키'와 IP 같아

클립아트코리아

북한 해커로 의심되는 세력이 서울시 계정을 도용해 피싱 이메일을 보낸 정황을 포착돼 경찰이 수사에 나섰다.

13일 서울경찰청 안보사이버수사대는 서울시청을 압수수색하고 북한 해커가 사용한 것으로 추정되는 서울시 이메일 계정 정보 등을 확보했다.

경찰과 서울시 등에 따르면 서울시 홈페이지에서 가입해 만들 수 있는 시민 계정(@citizen.seoul.kr) 일부가 해킹돼 지난달 피싱 메일을 무작위 발송된 것으로 파악됐다.

서울시 공무원 명의로 된 문제의 메일은 대북전단 살포 관련 비대면 회의가 가능한지 묻는 내용으로, 악성코드가 숨겨진 파일이 첨부돼 있던 것으로 전해졌다.

경찰은 해킹 과정에 사용된 IP 주소가 북한 정찰총국 산하 해커조직 '김수키'가 과거 범행에 썼던 IP와 같은 것으로 보고 연관성을 추적 중이다.

그간 김수키는 정부 기관이나 기자 등을 사칭해 피싱 메일을 보내는 수법을 사용해왔다.

김수키는 2014년 한국수력원자력을 해킹해 원전 도면을 유출하고 가동을 중지하겠다고 협박하면서 국내에 알려졌다.

2016년 국가안보실 사칭 메일, 2022년 탈북자 출신인 태영호 전 국회의원 사칭 메일 등을 뿌리기도 했다.

경찰에 따르면 2023년 11월에도 김수키는 국내 일반인의 가상자산을 노리고 국내 서버 194대, 43개국 서버 382대 등을 경유해 IP주소를 바꾼 뒤 내국인 1468명의 이메일 계정을 탈취했다.

같은 해 8월에는 한미연합연습 전투모의실에 파견된 국내 워게임 운용업체 직원들에게 악성 메일을 대량으로 보내 해킹을 시도한 정황도 발견됐다.

서울시는 이날 해킹 사실을 언론에 공지하고 서울시 공식 계정(@seoul.go.kr)이 아닌 이메일은 열람하지 말라고 시민들에게 당부했다.

사칭 이메일로 인한 피해가 발생한 경우 경찰청 긴급 신고 또는 서울시 정보시스템과에 신고하면 된다.

경찰 관계자는 "IP 하나로 특정 조직의 소행이라 할 수는 없다"며 "여러 가능성을 열어놓고 수사를 진행 중"이라고 말했다.