청와대 등 사칭 해킹 메일 발송, 북한 소행 발표

한수원 사건에 사용됐던 동일한 계정 2개 발견
중국 요녕성 IP 대역 그대로 사용도 증거

[보안뉴스 김경애] ‘청와대 국가안보실’ 등 정부기관을 사칭한 이메일 작성자가 북한 소행으로 드러났다.

이와 관련 경찰청은 ‘국가기관 등 사칭 이메일 발송 사건’ 중간 수사결과 발표에서 “지난 1월 13일부터 14일까지 ‘청와대 국가안보실’ 등 정부기관을 사칭한 이메일 사건을 수사한 결과, 공격자는 2015년 6월 22일경부터 약 7개월간 국가기관 뿐 아니라 피싱사이트로 유도하기 위해 포털을 사칭하는 등 전자메일계정 18개를 이용해 759명에게 이메일을 발신한 사실을 확인했다”며 “압수수색영장을 통해 확보한 메일 첨부파일 66개를 한국인터넷진흥원(KISA)과 공동으로 정밀 분석한 결과, 그 중 20개의 파일에서 정보유출 기능의 악성코드가 발견됐다”며 북한 소행이라고 밝혔다.

특히, 이번 사건의 공격 주체로 북한이 지목된 데에는 범행에 사용된 인터넷 접속 IP와 악성코드 등을 분석한 결과, 한수원 사건에 사용됐던 동일한 계정 2개가 발견됐고, 한수원 사건에서 이용됐던 중국 요녕성 IP 대역(175.167.x.x)을 그대로 사용했기 때문이다.

해당 IP대역은 평소 북한 해커조직이 사용하는 김수키‘kimsuky’ 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했다.

또한 악성코드 중 일부는 북한이 제작·유포한 것으로 알려진 김수키 계열 악성코드와 유사점이 발견됐다.

이와 관련 경찰청은 “해외 자료유출 메일서버가 동일했고 윈도우 메모장 프로그램에 실행코드가 삽입되어 동작하는 악성코드의 동작방식이 유사했다”며 “공격기법이 스피어 피싱으로 동일했다”고 밝혔다.

이번 사건에 이용된 IP는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로 북한과 중국의 접경지역에서 해당 IP주소가 사용된 것이 확인됐다.

수신자 분석 결과, 직업이 확인된 사칭메일 수신자 460명 중 북한과 관련된 직업에 종사하는 자가 약 87%(404명)에 이르렀다.

또한, 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, ‘년말’, ‘리론적 고찰’ 등 두음법칙을 사용하지 않은 문장이 있고, ‘우와 같은’, ‘오유’ 등의 북한식 단어, ‘인문유대 강화’, ‘특별제시’, ‘2급 암호 설정’ 등 생소한 어휘가 사용됐다.

공격 수법 또한 피싱 사이트로 유도하는 범행 수법과 발견된 악성코드의 정보유출 기능 등으로 볼 때, 사칭(악성) 메일을 보내 상대방의 ID와 비밀번호를 획득하고 메일 해킹을 통해 문서 등의 정보를 유출한 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)