경찰청장 “청와대 사칭 이메일 사건, 北해커 소행 맞다”

지난 달 중순 청와대 등 주요 국가기관을 사칭해 정부부처, 연구기관 등에 대량으로 발송된 이메일이 북한 해커 조직의 소행인 것으로 드러났다.
조사결과 이들은 2015년 6월 22일부터 약 7개월 간 국가기관 뿐 아니라 대형 포털사이트까지 사칭하면서 피싱 메일 등 전자메일 계정 18개를 이용해 759명에게 이메일을 발신한 것으로 드러났다.
또 해당 메일의 첨부파일 66개를 경찰·한국인터넷진흥원이 정밀 분석한 결과 20개의 파일에서 정보를 유출하는 기능을 가진 악성코드가 발견됐다.
15일 강신명 경찰청장은 서대문구 미근동 경찰청사에서 기자간담회를 열어 “청와대 사칭 메일 사건은 북한 해커조직의 범행으로 확신하는 단계에 이르렀다”며 이같은 중간 수사 결과를 발표했다.
경찰은 지난 달 13~14일 청와대 국가안보실 등을 사칭해 전자메일 계정 4개로 이메일이 발송된 사실을 확인하고 수사에 착수했다. 이들 이메일에는 북한 4차 핵실험에 대한 의견을 개진해달라는 요청이 담겨 있었다.
경찰이 총 759명의 이메일 수신자를 분석한 결과 직업이 확인된 460명 가운데 북한과 관련된 직업 종사자가 약 87%(404명)에 달하는 것으로 집계됐다. 강 청장은 “우연의 일치라고 볼 수 없는, 고의적·의도적으로 대상을 타겟팅한 흔적이 나왔다”고 설명했다. 이 가운데 메일에서 요청한 북한 핵실험 관련 의견 등을 회신한 사람은 35명이었다. 다행히 이들 가운데 중요한 정보를 회신한 경우는 없는 것으로 확인됐다.
강 청장은 “이메일이 발신된 IP(인터넷 주소)가 2014년 북한 해커 소행으로 추정되는 ‘한국수력원자력 해킹 사건’과 동일한 중국 랴오닝성 대역으로 확인됐다”며 “북한 접경지역인 랴오닝성 IP를 북한 영토에서도 무선으로 쓸 수 있다는 게 과학적으로 증명됐다”고 강조했다. 이메일을 발송한 계정 가운데 2개가 한수원 사건에서 동일하게 사용됐던 사실도 밝혀졌다.
이번에 확인된 IP대역은 보안업계에 평소 북한 해킹조직이 사용하는 것으로 알려진 악성코드들의 IP대역과 유사한 것으로 드러났다. 특히 이메일에 첨부된 악성코드의 해외 자료유출 메일 서버가 동일하고, 동작·공격방식도 유사한 것으로 확인됐다.
이메일에 나오는 문구들도 북한 소행 가능성을 높인다. 경찰이 북한 언어학 전문가의 자문을 받아 메일 원문을 분석한 결과 북한에서 사용되는 표현이 곳곳에서 발견됐다. 두음법칙을 사용하지 않은 ‘년말(연말)’, ‘리론적(이론적) 고찰’ ‘리발소(이발소)’ 등을 비롯해 ‘우와(위와) 같은’ ‘오유(오류)’ ‘1페지(페이지)’등 북한식 단어가 대표적이다.
경찰은 사칭메일 수신자 759명에 대해 비밀번호 변경 등 계정보호 조치를 취했다고 밝혔다. 사칭용 계정 18개는 영구삭제 조치했다. 이번에 발견된 악성코드 20종에 대해서는 백신 반영 조치를 완료했다.
경찰은 이번 해킹메일 사건과 관련해 유럽의 2개국의 서버가 사용된 흔적을 확인하고 향후 국제 공조수사를 진행항 계획이다.
[백상경 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]