강신명 경찰청장
강신명 경찰청장
한수원 해킹 때 활용 中랴오닝 IP·계정 2개 동일…"北영토서 IP 사용 가능"
지난해 6월부터 피싱메일 발신도 확인…수신자 759명이지만 피해 확인 안돼
北에서만 사용 표현·직업 확인된 수신자 88% 北 관련 업무 종사자

경찰이 청와대 등 주요 국가기관을 사칭해 정부기관이나 연구기관에 대량으로 발송된 이메일 사건이 북한 해커 조직의 소행인 것으로 확신한다고 밝혔다.

강신명 경찰청장은 15일 오전 서대문구 미근동 경찰청사에서 기자간담회를 하고 "이 사건이 북한 해커 조직에 의해 자행됐음을 확신하는 단계에 이르렀다"며 중간 수사 결과를 전했다.

경찰은 지난달 중순 청와대와 외교부, 통일부를 사칭해 북한 4차 핵실험에 대한 의견을 개진해달라고 요청하는 이메일이 정부기관·국책 연구기관 등에 대량으로 발송되자 발신자 계정을 압수수색하고 발신지를 추적하는 등 수사를 벌여왔다.

강 청장은 북한 해커조직 범행으로 확신하는 근거로 우선 이메일이 발신된 IP가 2014년 북한 해커 소행으로 추정된 '한국수력원자력 해킹 사건'과 동일한 지역인 중국 랴오닝(遼寧)성 대역으로 확인된 데다 북중 접경 지역인 랴오닝성 IP를 북한 영토에서도 무선으로 쓸 수 있다는 게 과학적으로 증명됐다는 점을 들었다.

해당 IP가 모바일용으로 할당돼 특별한 차단 장치가 없으면 북한 땅에서도 무선으로 인터넷을 쓸 수 있다는 게 경찰의 설명이다.

한수원 해킹 사건 당시 사용된 계정과 똑같은 계정 2개가 이번 사건에 활용된 점도 확인했다고 강 청장은 밝혔다.

특히 해당 IP 대역은 평소 북한 해커조직이 사용하는 것으로 보안업계에 알려진 'kimsuky' 계열 악성코드들이 유포된 기존 IP 주소와 12자리 숫자 가운데 9자리가 정확히 일치했다.

아울러 메일에 나오는 우리나라에서는 잘 사용하지 않는 문구를 국내 한 대학의 북한언어학자에게 의뢰해 분석해보니 모두 북한에서 사용되는 표현이라는 점도 드러났다.

이유를 '리유', 이발소를 '리발소', 오류를 '오유', 1페이지를 '1페지' 등 메일에 나오는 문구가 북한에서만 사용되는 언어라는 것이다.

또 사칭 메일 수신자를 조사해보니 대부분이 우리나라 연구소 등에서 북한 관련 업무에 종사하는 사람으로 밝혀졌다.

경찰은 해당 이메일이 759명에게 보내진 것으로 파악하고 이 가운데 460명의 직업을 확인했는데 북한과 관련된 직업 종사자가 87.8%에 달한다고 전했다.

이 가운데 메일에서 요청한 북한 핵실험 관련 의견을 회신한 이는 35명이었다.

강 청장은 "이런 결과를 봤을 때 우연의 일치라고는 볼 수 없는, 고의적·의도적으로 타겟팅을 설정한 흔적이 나왔다"고 설명했다.

사칭 메일에 활용된 계정은 국내 유명 포털사이트 계정으로 총 18개였다.

경찰은 범인이 이들 계정을 통해 국가기관을 사칭한 메일뿐 아니라 포털사이트가 비밀번호 변경을 고지하는 것으로 가장한 '피싱 메일'을 보내기도 한 것으로 확인했다.

국가기관 사칭 메일 수신자는 52명이었고, 피싱 메일 수신자는 714명이었다.

2가지 메일을 모두 수신한 사람은 7명이었다.

피싱 메일은 미국과 독일 서버를 활용했고, 사칭 메일은 불가리아와 벨기에 서버를 거쳤다.

피싱 메일 발송 시점은 지난해 6월22일부터였다.

피싱 메일 목적은 수신자의 포털사이트 계정과 비밀번호를 알아낸 뒤 악성코드를 심으려는 목적이라는 게 경찰의 판단이다.

경찰은 이들 메일에서 첨부파일 66개를 확보, 한국인터넷진흥원(KISA)과 함께 정밀분석을 해 파일 20개에서 수신자 컴퓨터의 정보를 빼내는 악성코드 20개를 발견했다.

악성코드들은 'kimsuky' 계열 악성코드와 해외 자료유출 메일 서버가 동일하다는 점, 윈도우 메모장 프로그램에 실행코드가 삽입돼 동작한다는 점 등 방식이 유사하다고 경찰은 밝혔다.

하지만 이들 악성코드가 동작해 수신자 컴퓨터의 정보나 국가기밀이 유출되는 등 중대한 피해는 아직 확인되지 않았다고 경찰은 전했다.

경찰 관계자는 "수신자 중 핵실험 관련 의견을 회신한 한 대학교수가 악성코드 파일이 첨부된 2차 사칭 메일을 받아 그 파일을 클릭했는데도 한글 프로그램 버전이 달라 악성코드에 감염이 안된 사례는 있었다"고 말했다.

경찰은 범행에 활용된 포털사이트 계정 18개를 영구 삭제하고 악성코드 20개를 백신 프로그램을 통해 치료할 수 있도록 조치했다.

경찰은 외국 서버가 범행에 활용됨에 따라 앞으로 국제공조 수사를 통해 지속적으로 범인을 추적할 방침이다.

(서울연합뉴스) 박성민 기자 min22@yna.co.kr