2024-03-29 22:40 (금)
경찰 “북한 관련단체 사칭, 악성메일 발송 사건은 북한 소행”
상태바
경찰 “북한 관련단체 사칭, 악성메일 발송 사건은 북한 소행”
  • 길민권 기자
  • 승인 2017.01.25 15:27
이 기사를 공유합니다

"58개 계정 이용, 정부•연구•교육기관 종사자 785명에게 악성 메일 발송"

▲ 북 관련 단체 사칭, 악성 이메일 발송사건 개요도. 경찰청 제공.
▲ 북 관련 단체 사칭, 악성 이메일 발송사건 개요도. 경찰청 제공.
경찰청 사이버안전국은 25일 지난해 11월 3일과 올해 1월 3일 북한 관련 학술연구 단체를 사칭하며 악성코드가 담긴 전자우편을 발송했다는 2건의 뉴스기사 관련 수사에 착수, 외교•안보•국방•통일 분야 종사자 총 40명에게 악성코드가 포함된 전자우편을 발송한 공격근원지가 북한 IP주소임을 최종 확인했다고 발표했다.

사이버안전국 수사결과, 이 사칭 전자우편은 발송지인 북한 IP주소에서 미국소재 서버를 경유해 수신자들에게 발송되었으며, 전자우편에 각각 첨부된 ‘우려되는 대한민국.hwp’ 및 ‘2017년 북한 신년사 분석.hwp’ 한글 파일에는 정보를 유출하고 다른 악성코드를 추가로 전송받아 실행하는 기능이 포함되어 있는 것으로 밝혀졌다.

북한 소행 판단 근거에 대해 경찰 측은, 범행에 사용된 악성 전자우편, 악성코드 제어서버, 경유서버 등을 확보, 분석한 결과, 해외 경유서버를 거쳐 IP주소를 세탁했으며, 경유서버에서 북한 평양시 류경동에 할당된 IP로부터 공격이 시작된 사실을 확인했다고 밝히고 북한 접속 지는 2013년 ‘3.20. 사이버테러’ 및 2016년 방송사ㆍ수사기관ㆍ대학교수 사칭 전자우편 발송사건에서 북한이 접속한 IP주소 대역과도 일치한다고 설명했다.

공격 목적에 대해서는, 지난해 ‘청와대 등 사칭 전자우편 발송사건’과 동일한 목적으로 최근 국내 이슈를 이용해 국방ㆍ외교부 종사자들의 전자우편․PC 해킹을 통한 문서 등 정보 유출을 지속적으로 시도하고 있는 것으로 판단하고 있다.

한편 국내 소재한 제어서버를 정밀분석 결과 현재까지 악성코드 감염 등 피해는 확인된 바 없으며, 악성코드에 포함된 사칭 전자우편 수신자들에 대해서는 감염 우려에 대비해 비밀번호 변경 등 계정 보호조치를, 사칭용 전자우편 계정에 대해서는 영구 사용정지토록 포털사이트를 통해 조치했다. 또한 첨부파일에 포함된 악성코드에 대한 백신반영 조치도 완료했다고 전했다.

◇2016년 북한발 악성 전자우편 추적ㆍ수사 결과
좀더 자세히 살펴보면, 경찰은 지난해 1월 13일 청와대 등 국가기관 사칭 전자우편 발송 이후, 북한 해킹조직 활동상황을 약 1년여간 지속적으로 추적 수사해 왔으며, 그 결과, 2012년 5월 경부터 정부기관과 국제기구 사칭 뿐 아니라 피싱사이트로 유도하기 위해 포털사의 보안팀 등을 사칭하며 전자우편 계정 58개를 생성, 정부ㆍ연구ㆍ교육기관 등 종사자 총 785명에게 악성 전자우편을 발신한 사실을 추가로 확인한 것이다.

경찰은 이러한 사이버공격을 지속적으로 탐지를 하면서, 사칭용으로 생성한 전자우편 계정에 대해서는 모두 영구 삭제조치했다. 더불어 사칭 전자우편을 수신한 계정 785개에 대해서도 해당기관 등에 통보, 비밀번호를 변경하도록 조치하고 또한, 수사과정에서 북한이 전자우편서버 접속에 이용한 국내ㆍ해외 경유지 서버 등 69개를 파악해, 국내 경유지에 대해 더 이상 이용되지 않도록 통보ㆍ조치하는 한편, 해외 경유지에 대해서는 국제공조 수사 중에 있다.

또 2016년 발견된 악성코드 22종에 대해서는 KISA와 긴밀히 협조해 백신반영 및 악성코드와 통신하는 해외 서버와 피싱사이트에 대해서는 접속차단 조치했다고 밝혔다.

경찰 관계자는 “북한은 평상시에는 국내 인사들의 전자우편 계정정보를 탈취하기 위해 북 관련단체 관계자들을 사칭하면서 피싱 전자우편을 발송하지만, 파장이 있는 북한 관련 뉴스나 국내의 사회적 이슈가 있는 경우에는 이를 반영한 내용으로 악성 전자우편을 유포하고 있는 것으로 확인되고 있다”며 “발송자가 불분명한 전자우편은 열람하거나 첨부파일을 실행하는 것을 피하고 전자우편 ID와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 비밀번호 변경 및 본인의 접속 이력을 확인하는 등 사이버보안에 각별히 주의해 줄 것”을 당부했다.

더불어 “향후에도 이러한 북한의 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원해 지속적으로 탐지․추적함과 동시에, 국가정보원•국방부•미래창조과학부•한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 것”이라고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★