최순실 비판 `악성코드 메일` 알고보니 北 사이버공격

↑ ※`최순실 국정농단` 내세워 북한이 시도한 사이버테러 개요도. [자료제공 = 경찰청 ]

지난해 말 최순실 국정농단 사태를 비판하는 이메일에 악성코드를 심어 외교부와 국방부 등 정부기관 관계자에 배포한 사건은 북한 소행으로 경찰 수사 결과 확인됐다.
25일 경찰청 사이버수사과는 지난해 정부기관 등을 상대로 전송된 이메일 배포 경로를 추적한 결과 최초 발신지는 평양 류경동에 할당된 인터넷 프로토콜(IP)로 확인됐다고 밝혔다.
해당 이메일은 지난해 11월 '심심해서 쓴 글입니다'라는 제목으로 '우려되는 대한민국.hwp' 파일이 첨부된 형태로 배포됐다. 발신자는 국내에 실존하는 보수단체인 '북한전략정보서비스센터' 였다. 첨부 파일에는 "최순실 국정농단으로 정국이 뒤집혔다. 해법은 박근혜 대통령을 지키는 것"이라는 내용이 담겨 있었다. 문서 파일을 열면 악성 코드가 설치돼 PC에 저장된 정보가 유출된다.
올해 1월 3일에는 '통일연구원 산하 북한연구학회'라는 가상의 단체를 발신자로 한 이메일이 정부 주요기관 종사자 이메일로 뿌려졌다. 이메일에는 '2017년 북한 신년사 분석.hwp'이라는 한글 문서 파일이 첨부돼 있었다. 역시 파일에는 악성 코드를 탑재돼 있어 내려받기를 하면 좀비PC가 된다. 이 사건 역시 류경동 조직 소행으로 확인됐다.
이런 이메일은 국방부 관계자 3명, 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 40명에게 발송됐다.
북한이 주로 국방과 외교 분야 인사들에게 메일을 보낸 것은 군사 관련 정보를 캐내기 위한 것으로 보인다. 경찰 관계자는 "북한이 국내 북한·국방·안보 관련 업무를 담당하는 이들의 명단을 확보해 주기적으로 갱신하면서 이 같은 공격에 활용하는 는 것으로 보인다"고 설명했다.
다만, 실제로 이메일을 받은 컴퓨터가 악성 코드가 감염된 사례는 확인되지 않았다.
류경동 IP는 방송사와 금융기관 전산망이 뚫린 2013년 3·20 사이버테러를 비롯해 몇 차례 국내 전산망 공격에 쓰인 주소다. 이들 류경동 조직은 미국에서 제공되는 경유 서비스를 이용해 발신지 주소를 은폐를 시도하고 있다.
경찰은 이메일 수신자들에게 감염 우려에 대비해 비밀번호 변경 등 보호조치를 권고했다. 이메일 발송에 쓰인 사칭용 이메일 계정은 해당 포털사이트에 알려 영구 사용 정지하도록 조치했다.
이 밖에도 경찰은 북한 해킹조직 활동을 추적한 결과 중국 랴오닝(遼寧)성 IP를 쓰는 조직이 2012년 5월부터 작년 말까지 한국 정부 기관과 국제기구, 포털사이트 보안팀 등을 사칭한 이메일 계정 58개로 785명에게 악성 메일을 보낸 사실도 추가로 확인했다.
경찰은 이메일 발송 계정은 모두 영구 삭제 조치하고, 사칭 이메일을 수신한 계정 785개도 해당 기관 등에 통보해 비밀번호를 변경하도록 했다.
[서태욱 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]