지난 해 11월 ‘최순실 국정농단’ 사태 관련 문서에 악성 코드를 탑재한 이메일이 배포된 사건은 북한 소행으로 확인됐다.
경찰청 사이버수사과는 해당 이메일 배포 경로를 추적한 결과 최초 발신지가 평양 류경동에 할당된 인터넷 프로토콜(IP)로 확인됐다고 25일 밝혔다.
해당 이메일은 ‘심심해서 쓴 글입니다’라는 제목에 ‘우려되는 대한민국.hwp’ 파일이 첨부된 상태로 배포됐다.
문서 파일을 열면 악성 코드가 설치돼 PC에 저장된 정보가 유출되고, 다른 악성 코드가 추가로 전송된다. 발신자는 국내에 실존하는 보수단체 ‘북한전략정보서비스센터’ 대표 명의를 도용했다.
류경동 IP는 방송사와 금융기관 전산망이 뚫린 2013년 ‘3·20 사이버테러’를 비롯해 그 동안 몇 차례 국내 전산망 공격에 쓰인 주소다. 류경동 조직은 미국에서 제공되는 경유 서비스를 이용해 발신지 주소를 은폐하려 한 것으로 드러났다.
지난 3일 ‘통일연구원 산하 북한연구학회’라는 허구 단체를 발신자로 한 이메일이 ‘2017년 북한 신년사 분석’이라는 제목의, 악성 코드를 탑재한 한글 문서 파일과 함께 발송된 사건도 류경동 조직 소행으로 확인됐다.
두 사건 이메일은 국방부 관계자 3명과 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 40명에게 발송됐다.
경찰은 “이들 사건에 사용된 제어(C&C) 서버를 일부 확보해 분석한 결과 실제로 악성 코드가 감염된 사례는 확인되지 않았다”며 “다만 이메일 수신자들에게는 감염 우려에 대비해 비밀번호 변경 등 보호조치를 권고했다”고 말했다.
경찰은 북한이 국내에서 북한·국방·안보 관련 업무를 담당하는 이들의 명단을 확보해 주기적으로 갱신하면서 이 같은 공격에 활용한다고 보고 있다.
경찰은 북한 해킹조직 활동을 추적한 결과 중국 랴오닝(遼寧)성 IP를 쓰는 조직이 2012년 5월부터 작년 말까지 한국 정부 기관과 국제기구, 포털사이트 보안팀 등을 사칭한 이메일 계정 58개로 785명에게 악성 메일을 보낸 사실을 확인했다.
경찰은 북한의 사이버 공격에 대해 국제공조 등으로 지속 탐지·추적하고 국가정보원, 국방부 등 유관기관과 함께 피해방지를 위한 정보공유를 할 예정이다.
경찰은 “북한은 파장이 있는 북한 관련 뉴스나 국내 현안이 있을 때 이를 반영한 내용으로 악성 이메일을 유포하고 있다”며 “발송자가 불분명한 이메일은 열람 또는 첨부 파일 실행을 피하고 보안에 유의해야 한다”고 말했다.