우려되는대한민국·北신년사 이메일 해킹 北 IP통해 발송
40명 감염.. 계정 폐쇄조치
경찰청은 최근 악성코드가 포함된 이메일을 발송한 공격의 근원지가 북한 인터넷주소(IP)라는 사실을 확인했다고 25일 밝혔다. 지난해 11월 '우려되는 대한민국'이라는 제목으로 최순실씨의 국정농단을 다룬 내용의 한글파일 문서가 이메일을 통해 유포됐으며 올 1월에는 '2017년 북한 신년사 분석' 한글파일 문서가 이메일을 통해 유포됐다.
경찰 조사 결과 이메일은 북한 평양 류경동 IP에서 미국 소재 서버를 경유해 발송된 것으로 드러났다. 북한 해킹조직은 국내의 북한 관련 학술연구단체를 사칭해 이메일을 보냈다.
이메일에 첨부된 우려되는 대한민국 문서를 열면 바로 악성코드에 감염됐다.
문서에는 '(최순실 게이트의) 해법은 박근혜 대통령을 지키는 것'이라며 박 대통령을 옹호하는 내용이 담겨 있었다. 2017년 북한 신년사 분석 이메일의 경우 문서에 적시된 링크를 클릭하면 악성코드에 감염됐다.
우려되는 대한민국 이메일을 받은 인원은 10명, 북한 신년사 이메일을 받은 인원은 30명이었다. 이들 중 3명은 국방부 관계자, 1명은 외교부 관계자였다. 1건이 외교부 메일로 발송됐고 나머지 39건은 모두 포털사이트 메일로 수신됐다.
경찰은 이번에 사용된 이메일 계정을 영구 사용 정지하도록 포털사이트를 통해 조치했다. 또 첨부된 파일에 포함된 악성코드에 대해 백신반영 조치도 했다.
경찰은 이번 사건을 계기로 지난 1년간 북한 해킹조직의 활동상황을 추적한 결과 2012년 5월 이후 지난해 말까지 이메일 계정 58개를 생성, 정부.연구.교육기관.언론 분야 종사자 등 총 785명에게 악성 이메일을 발신한 것으로 확인했다.
주로 북중 접경지역인 중국 랴오닝성 인근 요녕성 IP를 이용했으며 국내 및 해외 소재 서버 69개를 경유했다.
경찰 관계자는 "북한이 최근 국내 이슈를 이용해 국방 및 외교 종사자들의 이메일 해킹을 통한 정보 유출을 지속적으로 시도하고 있는 것으로 판단된다"며 "평상시에는 주로 포털사이트를 이용하는 반면 이슈가 있으면 청와대 등 정부기관을 사칭하기도 해 주의가 요구된다"고 강조했다.
jun@fnnews.com 박준형 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지