경찰청 사이버수사과는 지난 해 11월과 올해 1월 북한 관련 학술연구 단체를 사칭하며 악성코드를 담은 이메일을 추적한 결과, 평양 류경동의 인터넷 프로토콜(IP)이 확인됐다고 25일 밝혔다.
전송자가 북한관련 단체의 대표 명이고 '우려되는 대한민국'이나 '2017년 북한 신년사 분석' 등의 한글 파일이 첨부된 이들 이메일은, 수신자가 해당 파일을 열어 볼 경우 정보를 유출하고 다른 악성코드를 추가로 전송하도록 설계돼 있다.
첨부파일은 박근혜 대통령을 옹호하는 내용을 담은 에세이형 글과 통일부가 홈페이지 를 통해 배포한 실제 자료지만 수신자 39명 중에 파일을 클릭해 피해가 발생한 사례는 없는 것으로 확인됐다.
다만 수신자가 국방부와 국립외교원 소속이고 자유북한방송 등 탈북자들이 주로 활동하는 보수 성향의 북한 관련단체로 특정되는 만큼, 실제 피해가 발생했을 경우 국방 기밀이나 탈북자들의 신상이 유출되는 등 사태가 확산됐을 가능성도 있다.
실제로 경찰은 2012년 5월부터 작년까지 정부기관과 국제기구, 포털사 보안팀 등을 사칭하며 비슷한 수법으로 해킹을 시도한 이메일 계정 58개를 발견했는데, 수신자 785명 중 정부 기관 관계자가 69명이나 됐다.
경찰 관계자는 "해킹 문제 때문에 정부 부처에서는 포털사이트 이메일 등 기관 이메일을 제외한 계정의 파일을 열 수 없도록 했다"면서 "이번에 확인된 국방부 소속 수신자를 포함해 수신자들의 메일은 모두 포털사이트 계정"이라고 말했다.
경찰에 따르면 이번에 북한에서 발송된 이메일은 미국소재 서버를 경유해 IP주소를 세탁해 수신자들에게 전송됐다.
확인된 북한의 IP는 지난 2013년 방송사와 금융기관 전산망을 뚫은 '3.20 테러'와 지난 해 방송사와 수사기관 등을 사칭해 악성코드가 담긴 이메일을 발송한 사건에서도 쓰인 주소와도 일치한다.
경찰은 발송자가 불분명한 이메일은 열람하거나 첨부파일을 실행하는 것을 피하고 비밀번호 변경과 접속 이력 확인 등을 통해 개인정보 노출을 경계할 것을 당부했다.