|
해킹을 위해 보내진 전자우편 12만 6000여건 중 지난해 12월 11일 발송된 ‘방첩사 계엄 문건’도 포함됐다. 당시 다수에게 뿌려진 이메일에는 ‘A 국회의원이 지난 8일 국군방첩사령부가 지난달 작성한 계엄 문건을 공개한다’며 하나의 파일이 첨부됐는데, 해당 파일에는 해킹에 사용될 수 있는 악성프로그램이 포함됐다. 해당 메일을 받은 이들 중에는 통일·안보·국방·외교 분야 종사자가 포함된 것으로 확인됐다
경찰은 지난해 12월 12일 ‘방첩사 계엄 문건’ 사건 수사에 착수해 사칭 이메일의 원문을 확보해 발송 계정을 특정하고 접속기록 추적, 국내외 발송 경유지 서버를 다수 특정했다. 이 중 15대를 확보해 발송 내역을 특정한 결과 기존 사건과의 연관성, 북한 어휘 등을 확인해 북한 해킹 조직의 소행으로 판단했다.
특히 경찰은 △기존 북한발 사건에서 파악된 서버를 재사용한 점 △사칭 전자우편 수신자가 통일·안보·국방·외교 분야 종사자인 점 △범행 근원지 아이피 주소가 중국과 북한 접경지역에서 할당된 점 등을 파악했다. 게다가 사칭 전자우편을 조직적으로 발송하기 위해 임대한 서버에서 △탈북자와 군 관련 정보를 수집하고 있던 점 △인터넷 검색기록에서 북한식 어휘가 다수 확인된 점 등을 확인했다.
북한 해킹 조직은 ‘방첩사 계엄 문건’ 같은 형식뿐만 아니라 다양한 방식으로 이메일을 보냈다. 북한 신년사 분석과 정세 전망으로 위장하는 방식도 있었으며 유명가수 콘서트 초대장, 세금 환급, 오늘의 운세, 건강정보 제공 등으로 위장하기도 했다. 이같이 위장한 이메일에는 모두 바로가기 링크가 포함돼 있었고 이를 누르면 로그인이 필요하다며 포털 사이트 아이디와 비밀번호를 요구하는 피싱 사이트로 연결되는 수법이었다.
경찰은 △정부 부처는 업무상 상용메일을 사용하지 않을 것 △발신자가 불분명하거나 의심스러운 첨부파일은 열람하지 말 것 △이메일 첨부파일은 암호를 걸어 송수신하고 암호를 유선교환할 것 △2단계 인증을 사용할 것 등을 권고했다.
경찰 관계자는 “어떠한 유형의 사이버 공격에 대해서도 엄정하고 신속하게 대응할 수 있도록 국내외 관계기관들과의 협력체계를 굳건히 하는 등 치안 역량을 총동원하여 대응해 나갈 예정”이라고 강조했다.
|
