경찰 “청와대 사칭 이메일 발송은 北 소행”(종합)

[이데일리 이승현 기자] 경찰은 지난달 청와대 등을 사칭해 정부와 국책 연구기관에 북한의 핵실험 관련 설문 이메일을 발송한 주체를 북한 해커조직으로 잠정 결론 내렸다.

강신명(사진) 경찰청장은 15일 오전 서울 서대문구 미근동 청사에서 기자 간담회를 갖고 “북한 해커조직의 범행으로 확신하는 단계”라며 이같이 밝혔다. 경찰은 지난달 청와대 등 국가기관을 사칭해 북한의 4차 핵실험에 대한 의견 개진을 요청하는 이메일이 정부와 연구기관에 대량 발송된 사건에 대해 수사를 진행해왔다.

이 이메일이 발신된 IP는 2014년 북한 해커의 소행으로 결론난 ‘한국수력원자력 해킹사건’ 때의 중국 랴오닝성 대역(175.167.X.X)으로 드러났다. 강 청장은 “북한에서 무선PC로 (접경지역인) 랴오닝성의 IP를 사용할 수 있는 게 과학적으로 입증됐다. 과거 한수원 해킹사건 때 사용된 계정과 같은 계정이 2개 발견됐다”고 설명했다.

이메일의 발신 IP 대역은 평소 북한 해킹조직이 쓰는 것으로 알려진 ‘킴수키’(kimsuky) 계열 악성코드들의 IP 주소들과 비교해 12자리 숫자 중 9자리가 일치했다.

강 청장은 이어 “(직업이 확인된) 이메일 수신자의 87.8%가 한국에서 북한관련 업무 종사자로서 우연의 일치로 볼 수 없는 고의적 타겟팅”이라며 “이메일 문장들도 두음법칙 등이 적용되지 않은 북한식 문구가 사용됐다”고 덧붙였다. 예를 들어 ‘오류’를 ‘오유’로, ‘1·2페이지’를 ‘1·2페지’로 표현하는 식이다.

경찰에 따르면 이 이메일은 사칭용 전자메일계정 18개를 이용해 지난해 6월부터 지금까지 총 759명에게 발송됐다. 이메일 요청대로 북한의 4차 핵실험에 대한 의견을 회신한 인원은 35명이다. 경찰은 759명의 수신자 중 460명의 직업을 확인했으며 그 중 404명(87.8%)이 북한관련 업무를 하고 있다고 전했다.

이메일에 첨부된 파일 66개 중 20개 파일에선 정보유출 기능을 가진 악성코드가 발견됐다. 경찰은 해외 피싱사이트로 유도하는 범행수법과 악성코드의 정보유출 기능 등에 비춰 이번 사이버 공격으로 정부 관계자 및 연구원의 ID와 비밀번호를 빼낸 뒤 메일해킹 등으로 정보유출을 시도한 것으로 보고 있다.

강 청장은 그러나 “지금까지는 (안보자료 탈취 등) 피해는 없는 것으로 나타났다”고 말했다. 경찰은 메일 수신자 759명에 대해선 비밀번호 변경 등 계정 보호조치를 했고 사칭용 전자계정 18개는 영구삭제했다.

한편 강 청장은 부모 등 보호자에게 교육적 방임을 받는 미취학 아동이나 중학생 등을 찾아내기 위한 적극적 의지도 밝혔다.

그는 “일반적 점검은 교육부 및 지방자치단체 공무원이 해야 한다. 그러나 주민등록등본 등에 등재됐지만 소재가 불명확하거나 학대의심을 받은 경우는 (경찰이) 수사에 착수하도록 하겠다”며 “한달 점검하고 끝낼 게 아니라 계속 확대할 필요가 있다”고 말했다.

경찰청 제공