“청와대 사칭 이메일은 북한 해커 조직의 소행”

경찰은 지난달 중순 발생한 청와대 등 국가기관 사칭 이메일 사건이 북한 소행인 것으로 확신한다고 밝혔다. 강신명 경찰청장은 15일 기자간담회에서 “북한 해커 조직의 범행으로 확신하는 단계에 이르렀다”고 말했다.

지난달 중순 정부기관과 국책 연구기관 관계자들에게 북한 4차 핵실험에 대한 의견을 묻는 이메일이 청와대·외교부·통일부 명의로 발송됐다. 경찰은 발신자 계정을 확인하고 발신지를 추적해 왔다.

그 결과 북한 해커 소행으로 추정됐던 2014년 한국수력원자력 해킹 사건 때와 같은 계정이 2개 발견됐다고 강 청장은 전했다. IP(인터넷 접속주소)는 압록강을 사이에 두고 북한과 접경한 중국 랴오닝성 대역으로 나타났다. 강 청장은 “북한 영토에서 랴오닝성 IP를 무선으로 쓸 수 있다는 게 과학적으로 증명됐다”고 강조했다.

이메일 본문에서 ‘리유(이유)’ ‘리발소(이발소)’ ‘오유(오류)’ ‘1페지(1페이지)’ 등 북한에서 쓰는 표현이 여럿 발견된 점도 경찰이 북한 소행임을 확신하는 근거다. 경찰은 사칭 메일 수신자가 대부분 북한 관련 업무에 종사하는 사람임을 확인했다. 해당 이메일은 한수원 해킹 사건 이후인 지난해 6월부터 759명에게 발송됐다고 한다.

강 청장은 “직업이 확인된 460명의 87.8%가 북한 관련 업무 종사자”라며 “우연의 일치라고는 볼 수 없는, 고의적·의도적으로 타겟팅한 흔적”이라고 말했다. 이메일에 회신한 사람은 35명으로 파악됐다.

사칭 메일 발신자들은 불가리아 등 유럽 2개국 서버를 활용해 네이버 ‘비밀번호 변경고지’를 가장한 ‘피싱(낚시) 메일'을 보내기도 했다. 경찰은 국제공조를 통해 보강수사에 나설 계획이다.

강창욱 기자 kcw@kmib.co.kr