![[오늘의 운세] 6월 17일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202406/17/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
지난 해 11월 ‘최순실 국정농단’ 사태 관련 문서에 악성 코드가 탑재된 이메일이 배포된 사건은 북한 소행으로 확인됐다. 경찰청 사이버수사과는 25일 해당 이메일 배포 경로를 추적한 결과 최초 발신지가 평양 류경동에 할당된 인터넷 프로토콜(IP)로 확인됐다고 밝혔다.
해당 이메일은 지난해 11월 ‘우려되는 대한민국.hwp’ 파일이 첨부된 상태로 배포된 바 있다. 또, ‘2017년 북한 신년사 분석.hwp’ 파일이 첨부된 이메일이 지난 3일 배포됐다. '우려되는 대한민국.hwp' 파일에는 최순실 국정농단 사태에 대한 내용이 담겨있었고, ‘2017년 북한 신년사 분석.hwp’은 말 그대로 김정은 북한 노동당 위원장의 신년사 내용이 담겨 있었다.
문서 파일을 열면 악성 코드가 설치돼 PC에 저장된 정보가 유출되고, 다른 악성 코드가 추가로 전송된다. 발신자는 국내에 실존하는 보수단체 ‘북한전략정보서비스센터’ 대표 명의를 도용했다. 북한 IP주소에서 미국 서버를 경유해 외교·안보·국방·통일 분야 종사자 40여명에게 발송된 것이다.
류경동 IP는 방송사와 금융기관 전산망이 뚫린 2013년 이른바 ‘3·20 사이버테러’를 비롯해 그 동안 몇 차례 국내 전산망 공격에 쓰인 주소다. 미국에서 제공되는 경유 서비스를 이용한 것은 발신지 주소를 은폐하려 한 것으로 조사됐다.
경찰은 “이들 사건에 사용된 제어 서버를 일부 확보해 분석한 결과 실제로 악성 코드가 감염된 사례는 확인되지 않았다”며 “다만 이메일 수신자들에게는 감염 우려에 대비해 비밀번호 변경 등 보호조치를 권고했다”고 말했다.
경찰은 북한의 사이버 공격에 대해 국제공조 등으로 지속 탐지·추적하고 국가정보원, 국방부 등 유관기관과 함께 피해방지를 위한 정보공유를 할 예정이다.
또, 경찰은 북한이 2012년 5월부터 지금까지 정부기관, 국제기구 사칭은 물론 포털사의 보안팀 등을 사칭하며 전자우편 게정 58개를 생성한 것으로 파악했다. 이를 이용해 정부기관 12곳과 97개 기관 785명에게 발신한 사실을 확인했다.
경찰은 “북한은 파장이 있는 북한 관련 뉴스나 국내 현안이 있을 때 이를 반영한 내용으로 악성 이메일을 유포하고 있다”며 “발송자가 불분명한 이메일은 열람 또는 첨부 파일 실행을 피하고 보안에 유의해야 한다”고 말했다.
오원석 기자 oh.wonseok@joongang.co.kr
