2014년 한수원 해킹 계정과 동일…‘중-북 접경지역IP 이용돼’
경찰청은 지난달 13일~14일 전자메일계정 4개를 이용해 청와대 국가안보실 등을 사칭한 전자우편을 발송한 공격주체에 대해 “북한이 확실시 되고 있다”고 16일 밝혔다.
경찰에 따르면 해당 메일의 발신인은 지난해 6월22일부터 약 7개월간 피싱사이트로 유도하기 위해 국가기관 뿐 아니라 포털을 사칭하는 등 총 18개의 이메일 계정을 이용해 769명에게 이메일을 발신했다. 이메일을 수신한 이들 중 직업이 확인된 404명은 북한과 관련된 직업에 종사하는 것으로 경찰 조사 결과 밝혀졌다.
또 경찰이 압수수색을 통해 확보한 메일 첨부파일 66개 중 20개의 파일에서는 수신인의 정보를 유출하는 기능을 가진 악성코드가 발견되기도 했다.
경찰은 이번 범행에 사용된 인터넷 접속IP와 악성코드 등을 분석한 결과 과거 한수원 사건과 관련성이 그대로 나타난 점을 주목했다.
이번 사건에서 발견된 메일 계정 중 2개 계정이 2014년 북한 해커들의 소행으로 파악됐던 한수원 해킹사건에 이용된 계정과 동일했으며, 해당 사건에서 이용된 중국 요녕성 IP대역이 그대로 사용된 것으로 밝혀졌다. 해당 IP주소는 북한과 중국 접경지역에서 사용되고 있다.
또 악성코드 중 일부는 북한 해킹조직이 사용하는 것으로 알려진 ‘kimsuky’ 계열 악성코드와 대다수 일치하는 것으로 나타났다.
메일 원문 내용에 ‘년말(연말)’, ‘리론적 고출(이론적 고출)’ 등 한국어 문법에 어긋나는 문장이 포함됐고 ‘인문유대 강화’, ‘2급 암호 설정’ 등 생소한 어휘가 사용된 것도 이번 사건의 공격 주체가 북한이라는 점을 보여준다는 것이 경찰의 설명이다.
메일은 수신인의 ID와 비밀번호를 획득한 뒤 문서 등 정보 유출을 목적으로 하고 있는 것으로 파악되고 있으며 미국, 독일, 벨기에, 불가리아 등 해외 서버가 이용됐다.
경찰 관계자는 “현재까지 악성코드 감염 등 피해사실은 발견되지 않았으며 악성코드 20종에 대한 백신반영 조치를 완료하고 사칭용 계정 18개에 대해 영구삭제 조치했다”라고 밝혔다.
김태원 기자 ilyoss@liyo.co.kr