발신지 IP, 평양 류경동으로 확인…2013년 3·20테러 등에 등장
(서울=연합뉴스) 임기창 기자 = 작년 11월 최순실 국정농단 사태 관련 문서에 악성 코드를 탑재한 이메일이 배포된 사건은 북한 소행으로 확인됐다.
경찰청 사이버수사과는 해당 이메일 배포 경로를 추적한 결과 최초 발신지가 평양 류경동에 할당된 인터넷 프로토콜(IP)로 확인됐다고 25일 밝혔다.
해당 이메일은 '심심해서 쓴 글입니다'라는 제목에 '우려되는 대한민국.hwp' 파일이 첨부된 상태로 배포됐다. 첨부 파일에는 "최순실 국정농단으로 정국이 뒤집혔다. 해법은 박근혜 대통령을 지키는 것"이라는 내용이 담겼다.
문서 파일을 열면 악성 코드가 설치돼 PC에 저장된 정보가 유출되고, 다른 악성 코드를 추가로 전송받아 실행한다. 발신자는 국내에 실존하는 보수단체 '북한전략정보서비스센터' 대표 명의를 도용했다.
류경동 IP는 방송사와 금융기관 전산망이 뚫린 2013년 3·20 사이버테러를 비롯해 그간 몇 차례 국내 전산망 공격에 쓰인 주소다. 류경동 조직은 미국에서 제공되는 경유 서비스를 이용해 발신지 주소를 은폐하려 한 것으로 드러났다.
올해 1월 3일 '통일연구원 산하 북한연구학회'라는 허구 단체를 발신자로 한 이메일이 '2017년 북한 신년사 분석'이라는 제목의, 악성 코드를 탑재한 한글 문서 파일과 함께 발송된 사건도 류경동 조직 소행으로 확인됐다.
두 사건에서 이메일은 국방부 관계자 3명, 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 40명에게 발송됐다.
경찰은 이들 사건에 사용된 제어(C&C) 서버를 일부 확보해 분석한 결과 실제로 악성 코드가 감염된 사례는 확인되지 않았다고 밝혔다.
다만 이메일 수신자들에게는 감염 우려에 대비해 비밀번호 변경 등 보호조치를 권고했다. 이메일 발송에 쓰인 사칭용 이메일 계정은 해당 포털사이트에 알려 영구 사용 정지하도록 조치했다.
경찰은 북한이 그간 국내에서 북한·국방·안보 관련 업무를 담당하는 이들의 명단을 확보해 주기적으로 갱신하면서 이 같은 공격에 활용한다고 보고 있다.
경찰은 북한 해킹조직 활동을 추적한 결과 중국 랴오닝(遼寧)성 IP를 쓰는 조직이 2012년 5월부터 작년 말까지 한국 정부 기관과 국제기구, 포털사이트 보안팀 등을 사칭한 이메일 계정 58개로 785명에게 악성 메일을 보낸 사실을 확인했다.
경찰은 이메일 발송 계정은 모두 영구삭제 조치하고, 사칭 이메일을 수신한 계정 785개도 해당 기관 등에 통보해 비밀번호를 변경하도록 했다.
경찰 관계자는 "북한은 파장이 있는 북한 관련 뉴스나 국내 현안이 있을 때 이를 반영한 내용으로 악성 이메일을 유포하고 있다"며 "발송자가 불분명한 이메일은 열람 또는 첨부 파일 실행을 피하고 보안에 유의해야 한다"고 말했다.
pulse@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
