본문 바로가기

“청와대 사칭 e메일, 북한 해커 조직 소행”

중앙일보 2016.02.16 02:21 종합 10면 지면보기
기사 이미지
지난달 중순 청와대·통일부·국방부·외교부 등 10여 개 국가기관의 명의를 사칭해 언론사·대학·공공기관 등에 근무하는 직원들에게 대량으로 뿌려진 e메일의 발신자는 북한 해커 조직이라고 경찰이 잠정 결론을 내렸다.

강신명 경찰청장 “북 사용 IP대역”

 강신명(사진) 경찰청장은 15일 “지금까지 수사 결과 북한 4차 핵실험에 대한 의견을 묻는다며 지난달 공공기관 등에 발송된 e메일은 북한 해커 조직이 보낸 것으로 확신하는 단계”라고 말했다.

 경찰에 따르면 사칭 e메일을 발송한 계정 중 2개가 북한 해커의 소행으로 밝혀진 2014년 한국수력원자력 해킹사건 때 사용된 계정인 것으로 확인됐다. 유포된 악성코드 중 일부도 당시 사용됐던 ‘킴수키(kimsuky)’ 계열 악성코드와 유사한 것으로 드러났다.

킴수키는 2010년 이후 북한이 한국 국방부·통일부 등을 해킹할 때 사용한 악성코드다. 경찰청 관계자는 “악성코드의 동작 방식과 공격 기법이 동일하다”고 설명했다.

 경찰은 또 사칭 e메일 발신지 IP대역 주소가 중국 랴오닝(遼寧)성 지역 이동통신에 할당되는 주소인 점도 근거로 들었다. 중국과 인접한 북한 지역에서 북한 PC를 사용해 이용할 수 있는 대역이라는 의미다.

이와 함께 발송된 e메일 원문에 ‘년말’ ‘리론적 고찰’ 등 북한식 단어 및 어휘가 사용된 점도 감안했다. 경찰 관계자는 “여러 조건을 고려했을 때 북한의 소행이 확실하다”고 말했다.

 경찰은 지난달 13~14일 청와대 국가안보실 등을 사칭해 e메일이 발송된 직후 수사를 시작했다. 당초 4개 계정으로 시작했지만 수사 결과 범행에 이용된 e메일 계정 수는 18개로 늘었다.

e메일 공격 기간도 지난해 6월부터인 것으로 나타났다. 수신자는 총 759명이었다. 직업이 확인된 460명 중 북한과 관련된 직업 종사자는 87%(404명)로 집계됐다.

경찰청 관계자는 “e메일에 답변하면 악성코드를 보내 개인정보를 미국·불가리아 등 해외 서버를 이용해 빼돌리는 방식”이라며 “아직까지 피해자는 없다”고 말했다.

박민제 기자
공유하기
광고 닫기