북(北)관련단체 사칭, 악성 전자우편 발송 사건은 북한 소행
- 58개 계정 이용하여 정부·연구·교육기관 종사자 785명에게
악성(사칭) 전자우편 발송 -
경찰청(사이버안전국)에서는 지난해 11. 3.과 금년 1. 3. 북관련 학술연구 단체를 사칭하며 악성코드가 담긴 전자우편을 발송하였다는 2건의 뉴스기사* 관련 수사에 착수, 외교·안보·국방·통일 분야 종사자 총 40명에게 악성코드가 포함된 전자우편을 발송한 공격근원지가 북한 IP주소임을 최종 확인하였다.
수사결과, 이 사칭 전자우편은 발송지인 북한 IP주소에서 미국소재 서버를 경유하여 수신자들에게 발송되었으며, 전자우편에 각각 첨부된 ‘우려되는 대한민국.hwp’ 및 ‘2017년 북한 신년사 분석.hwp’ 한글 파일에는 정보를 유출하고 다른 악성코드를 추가로 전송받아 실행하는 기능이 포함되어 있는 것으로 밝혀졌다.
범행에 사용된 악성 전자우편, 악성코드 제어서버, 경유서버 등을 확보·분석한 결과, 해외 경유서버를 거쳐 IP주소를 세탁하였으며, 경유서버에서 북한 평양시 류경동에 할당된 IP로부터 공격이 시작된 사실을 확인하였다. 북한 접속 지는 2013년 3.20. 사이버테러 및 2016년 방송사·수사기관·대학교수 사칭 전자우편 발송사건에서 북한이 접속한 IP주소 대역과도 일치한다.
지난해 ‘청와대 등 사칭 전자우편 발송사건’과 동일한 목적으로 최근 국내 이슈를 이용하여 국방·외교부 종사자들의 전자우편·피시(PC) 해킹을 통한 문서 등 정보 유출을 지속적으로 시도하고 있는 것으로 판단하고,
국내 소재한 제어서버를 정밀분석 결과 현재까지 악성코드 감염 등 피해는 확인된 바 없으며, 악성코드에 포함된 사칭 전자우편 수신자들에 대해서는 감염 우려에 대비하여 비밀번호 변경 등 계정 보호조치를, 사칭용 전자우편 계정에 대해서는 영구 사용정지토록 포털사이트를 통해 조치하였다. 또한 첨부파일에 포함된 악성코드에 대한 백신반영 조치도 완료하였다.
경찰은 2016. 1. 13. 청와대 등 국가기관 사칭 전자우편 발송 이후, 北 해킹조직 활동상황을 약 1년여간 지속적으로 추적 수사하여 왔으며, 그 결과, 2012. 5. 경부터 정부기관과 국제기구 사칭 뿐 아니라 피싱사이트로 유도하기 위해 포털사의 보안 팀 등을 사칭하며 전자우편 계정 58개를 생성, 정부·연구·교육기관 등 종사자 총 785명에게 악성 전자우편을 발신한 사실을 추가로 확인하였다.
경찰은 이러한 사이버공격을 지속적으로 탐지를 하면서, 사칭용으로 생성한 전자우편 계정에 대해서는 모두 영구삭제조치를 하였다.
더불어 사칭 전자우편을 수신한 계정 785개에 대해서도 해당기관 등에 통보, 비밀번호를 변경하도록 조치하고, 또한, 수사과정에서 북한이 전자우편서버 접속에 이용한 국내·해외 경유지 서버 등 69개를 파악하여, 국내 경유지에 대해 더 이상 이용되지 않도록 통보·조치하는 한편, 해외 경유지에 대해서는 국제공조 수사 중에 있다.
마지막으로, 2016년 발견된 악성코드 22종에 대해서는 KISA와 긴밀히 협조하여 백신반영 및 악성코드와 통신하는 해외 서버와 피싱사이트에 대해서는 접속차단 조치를 하였다.
경찰은, 북한은 평상시에는 국내 인사들의 전자우편 계정정보를 탈취하기 위해 북 관련 관계자들을 사칭하면서 피싱 전자우편을 발송하지만, 파장이 있는 북한 관련 뉴스나 국내의 사회적 이슈가 있는 경우에는 이를 반영한 내용으로 악성 전자우편 유포하고 있는 것으로 확인 된 만큼,
국민들에게는 발송자가 불분명한 전자우편은 열람하거나 첨부파일을 실행하는 것을 피하고 전자우편 ID와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 비밀번호 변경 및 본인의 접속 이력을 확인하는 등 사이버보안에 각별히 주의해 줄 것을 당부하는 한편,
앞으로도 이러한 북한의 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원하여 지속적으로 탐지·추적함과 동시에, 국가정보원·국방부·미래창조과학부·한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 예정이다.
담당: 사이버수사과 경정 정석화(02-3150-1459)
