Home > 전체기사
청와대 등 사칭 해킹 메일 발송, 북한 소행 발표
  |  입력 : 2016-02-15 16:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한수원 사건에 사용됐던 동일한 계정 2개 발견
중국 요녕성 IP 대역 그대로 사용도 증거


[보안뉴스 김경애] ‘청와대 국가안보실’ 등 정부기관을 사칭한 이메일 작성자가 북한 소행으로 드러났다.


이와 관련 경찰청은 ‘국가기관 등 사칭 이메일 발송 사건’ 중간 수사결과 발표에서 “지난 1월 13일부터 14일까지 ‘청와대 국가안보실’ 등 정부기관을 사칭한 이메일 사건을 수사한 결과, 공격자는 2015년 6월 22일경부터 약 7개월간 국가기관 뿐 아니라 피싱사이트로 유도하기 위해 포털을 사칭하는 등 전자메일계정 18개를 이용해 759명에게 이메일을 발신한 사실을 확인했다”며 “압수수색영장을 통해 확보한 메일 첨부파일 66개를 한국인터넷진흥원(KISA)과 공동으로 정밀 분석한 결과, 그 중 20개의 파일에서 정보유출 기능의 악성코드가 발견됐다”며 북한 소행이라고 밝혔다.

특히, 이번 사건의 공격 주체로 북한이 지목된 데에는 범행에 사용된 인터넷 접속 IP와 악성코드 등을 분석한 결과, 한수원 사건에 사용됐던 동일한 계정 2개가 발견됐고, 한수원 사건에서 이용됐던 중국 요녕성 IP 대역(175.167.x.x)을 그대로 사용했기 때문이다.

해당 IP대역은 평소 북한 해커조직이 사용하는 김수키‘kimsuky’ 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했다.

또한 악성코드 중 일부는 북한이 제작·유포한 것으로 알려진 김수키 계열 악성코드와 유사점이 발견됐다.

이와 관련 경찰청은 “해외 자료유출 메일서버가 동일했고 윈도우 메모장 프로그램에 실행코드가 삽입되어 동작하는 악성코드의 동작방식이 유사했다”며 “공격기법이 스피어 피싱으로 동일했다”고 밝혔다.

이번 사건에 이용된 IP는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로 북한과 중국의 접경지역에서 해당 IP주소가 사용된 것이 확인됐다.

수신자 분석 결과, 직업이 확인된 사칭메일 수신자 460명 중 북한과 관련된 직업에 종사하는 자가 약 87%(404명)에 이르렀다.

또한, 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, ‘년말’, ‘리론적 고찰’ 등 두음법칙을 사용하지 않은 문장이 있고, ‘우와 같은’, ‘오유’ 등의 북한식 단어, ‘인문유대 강화’, ‘특별제시’, ‘2급 암호 설정’ 등 생소한 어휘가 사용됐다.

공격 수법 또한 피싱 사이트로 유도하는 범행 수법과 발견된 악성코드의 정보유출 기능 등으로 볼 때, 사칭(악성) 메일을 보내 상대방의 ID와 비밀번호를 획득하고 메일 해킹을 통해 문서 등의 정보를 유출한 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)