'접속 IP주소 대역' 과거 북한발 사건과 일치
58개 계정 이용 785명에 악성메일 발송 추가 확인
북한 학술연구단체를 사칭한 악성 이메일 발송 사건은 결국 북한 소행으로 보인다는 경찰 판단이 나왔다.
경찰청은 이번 사건에 사용된 인터넷 프로토콜(IP) 주소를 확인한 결과, 북한 평양시 류경동에 할당된 IP로 미국 경유 서버를 거쳐 세탁된 것으로 확인됐다고 25일 밝혔다.
북한 소행으로 판단한 근거로는 2013년 3월20일 북한 정찰총국에 의해 발생한 사이버 테러와 지난해 방송사·수사기관·대학교수 사칭 악성 이메일 발송 사건에서 북한이 접속한 IP주소 대역과 일치한다는 점을 들었다.
경찰에 따르면 악성 메일은 지난해 11월3일 오후 2시23분과 올해 1월2일 오전 8시38분께 총 40명에게 발송됐다. 이중 국방부(3명)와 외교부(1명) 직원도 포함돼 있다.
출처를 숨기기 위해 미국의 VPN(가상사설망) 서비스를 사용해 메일 계정에 접속했고, 메일에 각각 첨부된 '우려되는 대한민국.hwp', '17년 북한 신년사 분석.hwp' 한글 파일에는 정보를 유출하고 다른 악성코드를 추가로 전송받아 실행하는 기능이 있던 것으로 확인됐다.
경찰 관계자는 "최근 국내 이슈를 이용해 국방·외교 문서나 종사자들의 정보를 빼내려 했던 것으로 추정된다"면서 "국내 제어서버를 정밀 분석해 보니 현재까지 악성코드 감염 피해는 확인된 바 없다"고 전했다.
경찰은 악성 메일 수신자들에게 비밀번호 변경 등 계정 보호 조치를 취하고, 사칭 이메일 계정에 대해서는 포털사이트 측에 영구 사용 정지를 요청했다.
경찰은 또 북한 소속 해커들이 2012년 5월부터 메일 계정 58개를 이용해 정부·교육·연구기관 종사자 785명에게 포털사이트 보안팀 등을 사칭한 악성 메일을 보낸 사실도 추가로 확인했다.
북한이 이메일 서버 접속에 이용한 국내·외 경유지 서버 69개와 악성코드 22종도 발견했다.
이는 지난해 1월 청와대 사칭 악성 메일 발송 사건 이후 1년여 간 북한의 해킹 조직 활동 상황을 추적 수사한 결과다.
이 관계자는 "북한이 이용한 국내·외 경유지는 더이상 이용 불가토록 통보 또는 국제공조 수사를 요청하고 악성코드의 경우 한국인터넷진흥원(KISA)의 협조 하에 백신을 반영하거나 접속 차단한 상태"라고 밝혔다.
(뉴시스)