[사회=LPN로컬파워뉴스] 홍준용 기자 = 경찰청(사이버범죄대응과)은 지난 1월 13일부터 14일까지 ‘청와대 국가안보실’ 등 정부기관을 사칭하여 전자메일계정 4개로 전자우편을 발송한 사건에 대해 수사한 결과, 공격자는 ’15. 6. 22.경부터 약 7개월간 국가기관 뿐 아니라 피싱사이트로 유도하기 위해 포털을 사칭하는 등, 전자메일계정 18개를 이용하여 759명에게 전자우편을 발신한 사실을 확인했다.

또한, 압수수색영장을 통해 확보한 메일 첨부파일 66개를 ‘한국인터넷진흥원(KISA)’과 공동으로 정밀 분석한 결과, 그 중 20개의 파일에서 정보를 유출하는 기능을 가진 악성코드가 발견됐다.

이 사건 공격주체는 북한이 확실하며, 범행에 사용된 인터넷 접속 IP와 악성코드 등을 분석한 결과, 과거 한수원 사건과의 관련성을 찾을 수 있었는데, 첫째, 메일 계정 중에서 한수원 사건에 사용되었던 동일한 계정 2개가 발견됐고, 둘째, 이번 사건에서도 한수원 사건에서 이용되었던 중국 요녕성 IP 대역(175.167.x.x)을 그대로 사용한 것으로 확인됐으며, 셋째, 악성코드 중 일부는 북한이 제작‧유포한 것으로 알려진 ‘kimsuky’ 계열 악성코드와 유사점이 있음을 발견했다.

특히, 이번 사건에 이용된 IP는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로, 북·중 접경지역에서 해당 IP주소가 사용되고 있음이 확인됐다.

또한, 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, ‘년말’, ‘리론적 고찰’ 등 두음법칙을 사용하지 않은 문장이 있고, ‘우와 같은’, ‘오유’ 등의 북한식 단어, ‘인문유대 강화’, ‘특별제시’, ‘2급 암호 설정’ 등 생소한 어휘가 사용되었음을 확인할 수 있었다.

공격 목적 및 수법은 피싱 사이트로 유도하는 범행 수법과 발견된 악성 코드의 정보유출 기능 등으로 볼 때, 공격의 일차적인 목적은 사칭(악성) 메일을 보내 상대방의 ID와 비밀번호를 획득하는 것이고, 이차 목적은 메일 해킹을 통한 문서 등 정보 유출로 판단된다.

피해 방지를 위한 조치는 현재까지 악성코드 감염 등 피해 사실은 발견되지 않고 있으나, 사칭메일 수신자(759명) 대해 비밀번호 변경 등 계정 보호조치를, 사칭용 계정(18개)에 대해서는 영구삭제조치를 하였고, 아울러 발견된 악성코드(20종)에 대한 백신반영 조치도 완료하였다고 밝혔다.