- 국가기관ㆍ북한관련 단체 인사 노려
[헤럴드경제=원호연 기자]지난해 11월와 올 1월 북한관련 학술연구 단체를 사칭해 악성코드가 담긴 이메일을 발송한 사건의 배후가 북한으로 확인됐다.
경찰청 사이버안전국은 지난해 11월 최순실 사태를 언급한 한글파일에 악성코드를 심어 발송한 이른바 코드명 ’말대가리’ 사건과 1월 3일 북한 신년사 관련 악성코드 유포 이메일 사건을 수사한 결과 두 사건 모두 북한 류경동 조직에 의해 자행된 것으로 판단한다고 25일 밝혔다.
경찰이 두 사건의 범행에 사용된 악성 이메일, 악성코드 제어(CNC) 서버, 경유 서버 등을 확보해 해커들은 분석한 결과 미국의 IP경유(VPN) 서비스 서버를 거쳐 IP를 세탁한 것을 확인됐다. 경유서버에서 북한 평양시 류경동에 할당된 IP에서 공격이 시작된 사실이 확인됐다. 이 IP 주소는 2013년 3.20 사이버 테러 및 지난해 방송사ㆍ경찰ㆍ대학교수 등 사칭 이메일 발송 사건에서 확인된 북한의 IP 주소와 같은 대역대다.
지난해 11월 북한전략정보 서비스센터라는 보수단체 회원을 사칭해 국방부ㆍ외교부 등 국가 기관과 각종 북한 관련 단체, 유엔 등 소속 인사 10명에게 발송된 ‘심심해서 쓴 글입니다’라는 제목의 이메일에는 최순실 사태를 언급한 ‘우려되는 대한민국’이라는 제목의 아래아한글 파일이 첨부됐는데 이 파일을 여는 즉시 사용자의 PC가 악성코드에 감영돼 PC 정보를 CNC 서버에 전송하는 것으로 나타났다.
또한 지난 1월 3일 외교통일연구원 북한연구학회라는 허구의 단체를 사칭해 국가기관과 북한 연구 단체, 등 30명에게 보낸 ‘북한 신년사 분석’ 이메일에는 통일부의 신년사 분석 파일이 첨부돼 있었고 문서 안의 인터넷링크를 클릭하면 악성코드에 감염되는 구조였다.
경찰청 관계자는 “서버를 확보해 분석했으나 실제 감염돼 피해를 본 사람은 없는 것으로 보인다”고 설명했다.
북한은 최근 우리 국가기관과 북한 관련 단체 인사들을 타겟으로 이메일 주소 등 개인 정보를 수집하기 위한 사이버 공격을 지속적으로 벌이고 있다. 경찰 관계자는 “국내 이슈가 잠잠할 떄는 포털사이트를 사칭한 피싱 메일을 보내고 최순실 등 이슈가 불거지면 관련 글을 활용해 첨부파일을 열어보게 해 악성코드 감염을 노리는 추세”라고 설명했다.
why37@heraldcorp.com
