최근 청와대 등 정부기관을 사칭한 이메일 발송은 북한의 소행인 것으로 드러났다. 중국의 IP를 활용해 북한 관련 종사자들의 정보를 빼내기 위한 북한의 사이버 도발이다.
경찰청 사이버범죄대응과는 15일 "최근 '청와대'를 사칭한 이메일 발송 건을 수사한 결과, 중국 요령성 지역 무선 IP를 활용한 북한 해커조직의 소행으로 확인됐다"고 밝혔다. 경찰은 지난 1월부터 청와대를 사칭한 이메일에 대한 수사에 착수했었다.
경찰은 우리 정부기관을 사칭한 전자메일계정 4개를 추적한 결과, 지난해 6월22일께 부터 7개월간 다음메일계정 18개를 이용해 총 759명에게 이메일을 보낸 사실을 확인했다. 메일 수신자 중 직업이 확인된 460명 중 87%(404명)는 국내 북한 관련 교수, 연구원들이었다.
경찰은 "이들을 상대로 북한 해커조직이 고의적이고 의도적으로 타케팅을 한 흔적이 나왔다"며 "메일에 담긴 내용의 상당 수에서 '오유'(오류), '페지'(페이지), '리론적 고찰'(이론적 고찰) 같은 북한식 어투의 문장이 다수 발견됐다"고 설명했다.
북한 해커조직은 중국 요령성 전체 지역에서 사용되는 이통통신 IP를 잡아 북한 내에서 이같은 범행을 벌인 것으로 추정되고 있다. 요령성은 북한의 압록강 접경지역으로 이 지역 IP를 북한에서도 충분히 이용할 수 있다는 것이다.
경찰은 "이번 공격의 1차적인 목적은 사칭(악성) 메일을 보내 악성코드에 감염시킨 뒤 상대방의 아이디와 비밀번호를 빼내 2차로 문서 등 정보를 유출하는 것으로 판단된다"고 분석했다.
메일은 '북한의 핵정책에 대한 귀하의 의견을 듣고 싶다'는 등의 내용으로 수신자 가운데 35명이 답장을 보낸 것으로 확인됐다. 다만, 주로 주관적인 의견을 보냈고, 안보 관련된 기밀유출 등의 피해는 발견되지 않았다고 경찰은 설명했다.
특히, 이번 수사를 통해 경찰은 북한 해커조직이 해외가 아닌 본국에서도 한국 등을 상대로 얼마든지 사이버 공격을 할 수 있다는 사실을 확인했다. 그동안 국내 수사당국은 해외에 본거지를 둔 북한 해커조직이 활동하는 것으로 추정해왔다.
이번에 확인된 북한 해커조직은 지난 2014년 12월 한국수력원자력 사건과도 연관된 것으로 드러났다. 당시 확인된 계정과 이번에 확인된 계정 2개가 동일했다. 따라서 당시에도 북한 해커조직이 이같은 방법으로 요령성 무선 IP를 사용한 것으로 추정하고 있다.
이외에도 경찰은 북한 해커조직이 같은 계정을 이용해 지난해 6월부터 포털사이트를 사칭한 피싱용 메일을 발송한 사실도 확인했다. '다음 고객센터입니다'라는 메일을 열면 PC를 악성코드에 감염시켜 개인정보를 빼내는 수법이다.
경찰은 이들이 개인정보를 빼내기 위해 미국, 독일, 불가리아, 벨기 등 제3국가 서버를 활용하고 있다는 점을 파악하고, 해당 국가와 공조해 수사를 진행 중이다.
(뉴시스)