경찰청 사이버수사과는 지난 1월과 박근혜 대통령을 음해하는 내용의 유투브 동영상 링크가 국내 방송사 사내 메일 계정을사칭한 메일을 통해 3만8988명에게 발송된 사건과 이와 관련 지난 2월 현직 경찰청 사이버수사관을 사칭해 “대통령 음해 동영상에 대한 국가보안법 수사에 협조해 달라”는 내용의 메일을 대북 관련 인사 48명에게 발송된 사건, 그리고 1월 경남 지역의 북한학 관련교수를 사칭해 악성 프로그램을 언론사 기자 등 83명에게 발송했던 사건이 북한의 사이버 테러로 판명됐다고 8일 밝혔다.
경찰청 관계자는 “VPN 서비스를 이용해 미국 등 해외로 우회한 이번 공격의 진원지를 역추적한 결과 북한 평양시 류경동 일대의IP 대역임이 확인 됐다”면서 “이 IP 대역은 지난 2013년 3ㆍ20 사이버 테러 당시 북한에서 접속한 대역과 일치한다”고 설명했다.
이번 3건이 북한 소행이라고 판단한 근거가 IP 주소만은 아니다. 방송국 메일을 사칭한 계정에서 메일을 대량 발송하기 전 테스트 메일을 보낸 계정 중 일부가 사이버수사관 사칭 사건 당시 목표가 된 주소록에서 발견된데다 수사관 사칭 사건 메일과 교수 사칭 사건 메일에 첨부된 악성코드가 ‘정보 유출’ 및 ‘원격 조종‘ 등 기능이 동일해 동일범 소행임이 드러났다. 탈북자와 북한 관련 연구자 등 북한과 관련된 사람들을 노렸다는 점도 참고됐다.
경찰은 최근 북한의 대남 사이버 테러가 국내 전산망이나 기관 홈페이지를 일시적으로 무력화하는 DDOS 공격, 홈페이지 변조 등에서 정보탈취를 통해 사이버 삐라를 대량 유포, 선전전에 활용하는 방식으로 변화하고 있다고 판단하고 있다.
이번 박대통령 음해 동영상은 박대통령이 나온 뉴스 동영상에 북한 핵 개발을 찬양하는 내용의 목소리를 입힌 것으로 “북한의 핵 보유가 한국의 이득’이라고 여론 몰이를 꾀하고 있기 때문이다.
경찰 관계자는 “DDOS공격은 시간이 지나 접속량이 줄면 원상복구돼 실질적 피해가 크지 않았다”면서 “이후 2011년 농협 전산망 해킹, 2012년 모 중앙일간지 해킹 등 특정 회사 전산망을 해킹하다가 한국수력원자력 해킹 이후부터 언론사 등을 통해 심리전을 전개해 사회적 불안을 야기하는 방식으로 바뀌고 있다”고 설명했다.
사이버 테러에 활용되는 IP 주소의 지역도 변하고 있다. 2009~2011년에는 중국 동북 3성 내 IP를 사용했지만 최근에는 서방의 유료 VPN 서비스를 활용해 IP를 세탁하고 있다. 지금까지 사이버테러에 활용된 북한 할당 IP는 요녕성 일대의 모바일IP와 조선 체신성 IP에 류경동 IP 등 총 세가지로 확인되고 있다.
또다른 경찰 관계자는 “흔히 정찰총국이 대남 사이버 테러를 주도하고 있는 것으로 알려져 있지만 실제로는 몇개의 조직이 경쟁적으로 사이버 테러에 나선 것으로 추정하고 있다”고 전했다.
why37@heraldcorp.com
