"북한발 악성메일, 5년간 공공·민간 종사자 785명 받아"

경찰청 사이버안전국 수사결과

컴퓨팅입력 :2017/01/25 19:41

경찰청 사이버안전국은 북한이 지난 4년7개월동안 정부, 연구기관, 민간단체, 언론사 국제기구 소속으로 신분을 사칭해 한국 정부, 연구, 교육기관 종사자 785명에게 악성메일을 보내왔다는 수사 결과를 25일 발표했다. 1년간 청와대를 비롯한 국가기관 사칭 이메일 발송 사건을 추적해 내린 판단이다.

더불어 지난해말과 올초 외교, 안보, 국방, 통일 분야 종사자 40명이 받은 악성메일 발송도 북한 소행이라고 판단했다. 발송처와 그 경유서버 분석에서 관련 흔적을 찾았다는 게 근거다.

북한 조총련 조선 인공기

■"악성hwp 첨부파일, 한국 정부·민간 인사 40명에 발송"

앞서 북한관련소식을 다루는 데일리NK는 "북한 해커가 악성코드를 포함한 이메일을 유포했다"는 보도를 지난해 11월 3일과 지난 1월 3일, 2차례에 걸쳐 내보냈다. 먼젓번 이메일은 '우려되는 대한민국.hwp', 나중 이메일은 '2017년 북한 신년사 분석.hwp'을 첨부파일로 포함했다.

보도 후 경찰은 수사를 진행한 결과 해당 이메일은 북한 IP주소에서 미국소재 서버를 경유해 수신자들에게 발송됐다고 발표했다. 또 각 hwp 첨부 파일이 열람한 컴퓨터의 정보를 유출하고 다른 악성코드를 추가로 내려받아 실행하는 기능을 포함했다고 덧붙였다.

북한관련단체 사칭 악성이메일 발송 공격방식 개요도 [자료=경찰청 사이버안전국]

경찰은 문제의 이메일, 악성코드 제어서버, 경유서버를 분석했다. 분석 결과 경유서버에서 북한 평양시 류경동에 할당된 IP에서 '공격'이 시작됐다. 이 접속지가 2013년 '3.20 사이버테러'와 2016년 방송사, 수사기관, 대학교수 사칭 전자우편 발송사건 당시 공격자가 접속한 IP주소 대역과도 일치했다. 경찰이 이메일 발송을 북한 소행으로 결론내린 근거다.

메일은 국방부 소속 3명, 외교부 소속 1명, 포털 등 기타 소속 36명 등 국내 외교, 안보, 국방, 통일 분야 종사자 40명에게 전달됐다. 이들 PC가 첨부파일의 악성코드에 감염됐다면 '명령제어서버'를 통해 유출된 정보가 북한 소재 '류경동 조직'으로 넘어갔을 것이라고 경찰 측은 설명했다.

경찰이 국내소재 제어서버를 분석한 결과 악성코드 감염 피해는 확인되지 않았다. 다만 포털사이트를 통해 악성코드에 포함된 사칭메일 수신자들에게는 감염우려에 대비한 비밀번호 변경 등 계정 보호조치를, 사칭에 동원된 전자우편 계정은 영구 사용정지를 하도록 조치했다고 밝혔다. 첨부파일에 포함된 악성코드 정보는 백신에 반영됐다.

■"2012년 5월부터 한국에 악성메일 지속 발송…896명 사칭, 785명이 받아"

경찰은 북한이 최근 국내이슈를 이용해 국방부, 외교부 종사자 전자우편과 PC를 해킹해 문서 등 정보 유출을 지속적으로 시도하고 있다고 판단했다. 지난해 1월 13일 '청와대 등 국가기관 사칭 전자우편 발송사건'과 목적이 같다는 것이다.

경찰은 해당 사건 이후 1년간 북한의 해킹조직 활동상황을 1년간 추적 수사해왔다. 이를 통해 "북한이 2012년 5월부터 전자우편 계정 58개를 생성해 정부, 연구, 교육기관 등 종사자 785명에게 악성메일을 보낸 사실을 확인했다"고 발표했다. 악성메일 발송자는 정부기관, 국제기구뿐아니라 포털사 보안팀을 사칭하기도 하면서 수신자를 피싱사이트로 유도했다.

경찰이 2016년 1월부터 추적해 파악한 2012년 5월 이래 북한이 한국 대상으로 발송한 악성메일 수신대상 통계. [자료=경찰청 사이버안전국]

경찰은 사칭에 동원된 전자우편 계정을 영구삭제하고 해당 계정의 이메일을 수신한 계정 785개에 대해서도 해당 기관에 통보, 비밀번호를 변경하도록 조치했다. 수사과정에서 북한이 전자우편서버 접속을 위해 거친 국내외 경유지 서버 69개도 파악했다. 국내 경유지 서버는 더이상 이용되지 않도록 통보, 조치하고 국외 경유지는 국제공조 수사 중이다.

경찰은 국민들에게 발송자가 불분명한 전자우편의 열람이나 첨부파일 실행을 피하도록 권고했다. 전자우편 계정과 비밀번호가 노출되지 않게 관리하고 주기적으로 비밀번호를 변경하고 본인 접속 이력을 확인하라고 당부했다.

관련기사

경찰에 따르면 북한은 국내 전자우편 계정정보 탈취하기위해 평상시엔 북한 관련단체 관계자를 사칭하고, 국내 사회적 이슈나 북한 관련 뉴스로 파장이 일 때는 이를 반영한 내용으로 악성 전자우편을 유포한다고 지적했다.

경찰은 한국인터넷진흥원(KISA)과 협조해 지난해 발견된 악성코드 22종 정보를 백신에 반영하고 악성코드와 통신하는 국외 서버, 피싱사이트에 접속차단 조치를 했다. 앞으로도 북한의 사이버 공격에 국제공조와 치안역량을 동원해 추적하고 국가정보원, 국방부, 미래창조과학부, KISA 등 유관기관 협업으로 정보공유와 추가피해방지 노력을 기울이겠다고 강조했다.