한국 경찰 "'최순실 사태' 악성 이메일, 북한 소행”

지난해 1월 한국 경찰은 청와대 등 주요 국가기관을 사칭해 정부기관 및 연구기관에 대량으로 발송된 이메일의 발신지가 2014년 북한 해커의 소행으로 추정된 '한국수력원자력 해킹 사건'과 동일한 지역인 것으로 확인됐다고 밝혔다. 당시 한국 경찰청 사이버 안전과에 경찰관계자가 들어가고 있다. (자료사진)

한국 경찰은 지난해 11월 ‘최순실 사태’ 관련 문서로 위장해 악성코드를 실은 이메일을 배포한 사건은 북한의 소행이었다고 밝혔습니다. 서울에서 박병용 기자가 보도합니다.

지난해 11월 초 ‘심심해서 쓴 글’ 이라는 제목의 이메일이 한국 내 수신자에게 발송됐습니다.

이 이메일에는 ‘우려되는 대한민국’이라는 문서파일이 붙어 있었고 그 안에는 ‘최순실 국정농단 사태로 정국이 뒤집혔다. 해법은 박근혜 대통령을 지키는 것’ 이라는 주장이 실려 있었습니다.

그런데 이 이메일은 문서파일을 열면 개인용 컴퓨터에 악성코드가 설치돼 저장된 정보가 유출되고 또 다른 악성코드를 추가로 전송받아 실행하도록 돼 있었습니다.

이 이메일은 실제로 있는 보수단체인 ‘북한전략정보서비스센터’ 대표의 명의를 도용해 보내졌습니다.

한국 경찰청 사이버수사과는 25일 이 이메일의 배포 경로를 추적한 결과 최초 발신지가 북한 평양시 류경동에 할당된 인터넷 프로토콜, IP 주소로 확인됐다고 밝혔습니다.

류경동 IP 주소는 한국 내 방송사와 금융기관 전산망이 뚫린 지난 2013년 사이버 테러를 비롯해 그간 몇 차례 한국 내 전산망 공격에 쓰인 주소라고 경찰은 설명했습니다.

또 ‘류경동 조직’은 미국을 거치는 서버를 이용해 주소를 세탁함으로써 발신지 주소를 은폐하려 한 것으로 드러났습니다.

경찰은 또 지난 3일 ‘통일연구원 산하 북한연구학회’라는 허구 단체를 발신자로 한 이메일이 ‘2017년 북한 신년사 분석’이라는 제목으로 악성코드를 실은 한글 문서파일과 함께 발송된 사건도 ‘류경동 조직’의 소행으로 확인됐다고 밝혔습니다.

이 두 사건에서 발송된 이메일은 국방부 관계자 3명과 외교부 관계자 1명, 그리고 통일연구원 등 한국 내 국방과 통일, 안보 관계자와 북한 관련 민간단체 관계자 등 40명에게 보내졌습니다.

경찰은 이와 관련해 최근 한국 내 현안을 이용해 국방과 외교 분야 종사자들의 정보를 빼내려 한 것으로 추정된다고 밝혔습니다.

다만 한국 내 제어서버를 정밀분석한 결과 현재까지 악성코드에 감염된 피해 사실은 확인된 게 없다고 설명했습니다.

경찰은 악성 이메일 수신자들에게 비밀번호 변경 등 계정보호 조치를 하도록 권고하고, 발신자의 이메일 계정에 대해서는 영구 사용정지할 것을 포털사이트 측에 요청했습니다.

경찰은 이와 함께 북한 해킹조직의 활동을 추적한 결과 중국 랴오닝성 IP를 쓰는 조직이 지난 2012년 5월부터 지난해 말까지 한국 정부기관과 국제기구, 포털사이트 보안팀을 사칭한 이메일 계정 58개를 이용해 785명에게 악성메일을 보낸 사실을 확인했다고 밝혔습니다.

서울에서 VOA 뉴스, 박병용입니다.