‘악성코드 메일’ 또 北 소행

최근 발생한 ‘박근혜-최순실 국정농단 사태’를 이용한 악성 이메일 사건이 북한의 소행인 것으로 드러났다.

경찰청은 지난해 11월 3일과 지난 3일 두 차례에 걸쳐 북한 관련 학술연구 단체를 사칭한 악성 이메일 사건을 수사한 결과, 해당 메일이 북한 평양시 류경동에 할당된 IP주소에서 발송된 사실을 확인했다고 25일 밝혔다. 악성코드가 담긴 이메일은 외교부·국방부 관계자 등 40명에게 유포됐다.

문제의 이메일은 ‘심심해서 쓴 글입니다’ ‘17년 북한 신년사 분석’이라는 제목으로 발송됐다. 메일에는 개인컴퓨터(PC)의 정보를 빼돌리는 악성코드가 담긴 한글파일이 첨부됐다. ‘우려되는 대한민국’이라는 한글 파일은 국정농단 사태를 개탄하는 내용이었다. ‘17년 북한 신년사 분석’ 파일은 마치 통일부가 배포하는 자료처럼 꾸몄다.

사칭 이메일은 북한에서 발송돼 미국 소재 서버를 경유하면서 IP를 세탁했다. 이번에 밝혀진 IP주소는 지난해 방송사와 수사기관 등을 사칭한 이메일에 쓰인 IP주소 대역과 일치했다.

경찰은 지난해 1월 청와대 등 국가기관을 사칭한 이메일이 퍼졌을 때부터 1년여간 북한 해킹조직의 활동을 추적해 왔다. 경찰 조사 결과 북한은 2012년 5월부터 58개의 계정을 이용해 악성 이메일을 정부, 연구·교육기관 관계자 785명에게 보내온 것으로 드러났다. 심지어 포털사이트 보안팀 등을 사칭해 ‘비밀번호가 유출됐다’며 비밀번호 변경을 가장한 피싱 사이트로 접속하게 했다. 현재까지 북한은 12개 기관을 사칭해 총 896건의 악성 이메일을 발송했다.

경찰 관계자는 “북한은 파장이 큰 북한 관련 뉴스나 국내의 사회적 이슈가 생길 경우 이를 언급하는 악성 이메일을 유포했다”며 “주기적으로 비밀번호를 바꾸는 등 사용자의 각별한 주의가 필요하다”고 당부했다.

글=최예슬 기자 smarty@kmib.co.kr, 그래픽=안지나 기자