경찰청이 지난달 13일~14일 청와대 국가안보실 등 정부기관을 사칭해 4개 계정으로 뿌려진 이메일이 북한 소행이 확실시 된다는 중간수사결과를 발표했다.
15일 경찰청 사이버범죄대응과는 공격자가 지난해 6월22일부터 약 7개월 간 국가기관 뿐만 아니라 피싱사이트로 접속을 유도하기 위해 포털을 사칭하는 등 수법을 동원, 18개 이메일 계정으로 759명에게 악성 이메일을 보낸 사실을 확인했다고 밝혔다.
경찰이 이러한 공격을 북한 소행이라고 본 이유는 크게 세가지다.
먼저 공격에 악용된 이메일 계정 중 한국수력원자력 공격 때 쓰였던 것과 동일한 계정 2개가 발견됐다는 점이다. 두번째로는 한수원 공격에 악용됐던 중국 요녕성 소재 IP주소 대역(175.167.x.x)이 이러한 공격에도 그대로 악용됐다는 것이다. 경찰은 해당 IP대역이 보안업계 사이에 북한 해킹조직이 쓰고 있는 것으로 알려진 'kimsuky' 계열 악성코드를 전송했던 IP주소와 12자리 숫자 중 9자리가 일치한다고 덧붙였다. 세번째로는 이 공격에 'kimsuky' 계열 악성코드들과 유사점이 있다는 설명이다. 경찰은 "해외에 구축된 자료유출용 메일서버가 같았고, 윈도 메모장 프로그램에 악성코드가 삽입돼 동작하는 방식이 유사했으며, 스피어 피싱 수법도 동일했다"고 밝혔다.
이어 경찰은 최근 사건에 악용된 IP주소는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로 북한과 중국 접격지역에서 사용하는 주소들인 것으로 확인됐다고 설명했다.
악성메일 수신자를 분석한 결과, 직업이 확인된 사칭메일 수신자 460명 중 북한과 관련된 직업에 종사하는 자가 약 87%(404명)에 달한다는 점도 북한 소행히 확실시 된다는 근거로 제시됐다.
또한 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, 우리나라 맞춤법과는 달리 '년말', '리론적 고찰' 등 두음법칙을 적용하지 않은 어휘나 '우와 같은', '오유' 등 북한식 단어, '인문유대 강화', '특별제시', '2급 암호 설정' 등 생소한 어휘가 사용됐다는 점도 이유로 지적됐다.
관련기사
- “북한발 해킹메일 주의해야”2016.02.15
- 구글-MS-페북, 英정부 수사권 강화법 반대2016.02.15
- 美 클라우드 회사, DDoS 대응하다 관리자 계정정보 유출2016.02.15
- "진흥 없고 규제만 가득" 업계 한숨…게임 D-학점2024.05.17
경찰은 공격자들이 공격대상들을 피싱용 웹사이트로 접속하도록 유도해 악성코드에 감염시킨 뒤 이들이 사용하는 ID와 비밀번호를 확보하려고 했으며, 이를 악용해 메일해킹 등을 통한 정보유출을 노린 것으로 판단하고 있다.
아직까지 해당 악성코드 감염으로 인한 피해사실은 확인되지 않고 있으나 경찰은 청와대 사칭 메일 수신자 759명에 대해 비밀번호 변경 등 계정 보호조치를 취하도록 하고, 공격에 악용된 18개 이메일 계정에 대해서는 영구삭제조치했다. 현재 백신회사들은 새로 발견된 악성코드 20종에 대한 보안업데이트 조치를 한 상태다.
