경찰, 최순실 사태 이용한 악성 이메일은 北소행

지난해 11월 최순실 사태 관련 문서에 악성코드를 배포한 사건은 북한 소행으로 결론 났다.

경찰청 사이버안전국은 지난해 11월 3일과 올해 1월 3일 북 관련 학술연구단체를 사칭해 악성코드가 담긴 이메일을 수사한 결과, 북한 IP주소가 확인됐다고 밝혔다

악성코드를 담은 한글 파일 `우려되는 대한민국`이 제목이다.
악성코드를 담은 한글 파일 `우려되는 대한민국`이 제목이다.

.

수사결과 `우려되는 대한민국, hwp`가 포함된 이메일은 북한 IP주소에서 미국 서버를 경유해 외교·안보·국방·통일 분야 종사자 40여명에게 발송됐다. 해당 공격은 북한 평양시 류경동에 할당된 IP로에서 시작됐다. 북한 접속지는 2013년 3월 20일 사이버테러와 2016년 방송사, 수사기관, 대학교수 사칭 이메일 발송 사건 때 북한이 접속한 IP주소 대역과 일치한다. 경찰은 북한이 국내 이슈를 이용해 국방·외교 종사자 PC를 해킹해 문서 등 정보 유출을 노린다고 분석했다.

경찰청은 지난해 1월 13일 청와대 사칭 해킹 이메일 발송 사건 후 북한 공격을 추적했다. 이 결과 북한은 2012년 5월부터 정부기관이나 국제 기구, 포털사 보안팀을 사칭하며 이메일 계정 58개를 생성했다. 정부, 연구, 교육기관 종사자 785명에게 악성 이메일을 보낸 것을 확인했다.

경찰에 따르면 북한은 평상시에는 국내 인사 이메일 계정 정보를 탈취하기 위해 북 관련 단체를 사칭해 피싱 메일을 발송했다. 북한 관련 뉴스나 국내 사회 이슈를 이용해 악성 이메일을 유포한다.

경찰 관계자는 “발송자가 불문명한 이메일은 열람이나 첨부파일 실행을 피해야 한다”며 “이메일 계정과 비밀번호가 노출되지 않도록 관리하면서 주기적으로 변경하라”고 당부했다.

<>

경찰, 최순실 사태 이용한 악성 이메일은 北소행
경찰, 최순실 사태 이용한 악성 이메일은 北소행

경찰, 최순실 사태 이용한 악성 이메일은 北소행


김인순 보안 전문기자 insoon@etnews.com