“작년 11월·이번달 북 학술단체 명의 배포…평양 IP로 확인”
경찰청 사이버수사과는 해당 e메일의 배포 경로를 추적한 결과 최초 발신지가 평양 류경동에 할당된 인터넷 프로토콜(IP)로 확인됐다고 25일 밝혔다.
경찰에 따르면 지난해 11월3일 ‘북한전략정보서비스센터’라는 북한 관련 학술단체의 대표 명의로 국방부와 통일연구원, 국립외교원 관계자 등 10명에게 e메일이 발송됐다. ‘심심해서 쓴 글입니다’라는 제목의 e메일에는 ‘우려되는 대한민국.hwp’라는 문서파일이 첨부됐다. 문서에는 “최순실 국정농단으로 정국이 뒤집히고 박근혜 대통령의 하야를 노골적으로 외친다” “해법은 박 대통령을 지키는 것이다” “국정농단은 최순실만 없으면 없는 것이다” 등 박 대통령을 옹호하는 내용이 담겼다.
이 문서파일을 열어보면 악성코드가 작동돼 시스템 정보 등이 유출되는 것으로 조사됐다.
지난 2일에는 가상의 단체인 ‘통일연구원 산하 북한연구학회’ 명의로 국방부 관계자와 보수성향의 북한 관련 단체 회원 등 30명에게 e메일이 전송됐다. ‘2017년 북한 신년사 분석.hwp’라는 문서파일이 첨부됐는데 여기에도 악성코드가 숨겨져 있다.
경찰은 이들 e메일의 발신지가 북한 평양 류경동이라고 밝혔다. e메일 발신자는 미국에 있는 경유서버를 통해 IP를 한 차례 세탁했다. 이번에 사용된 IP는 북한 소행으로 결론난 2013년 방송사·금융사를 마비시킨 해킹 사건 등에서 나타난 IP 대역과 일치한다고 경찰은 전했다. 다만 이번 악성코드 e메일로 피해는 발생하지 않았다.
경찰은 또 북한 해킹조직의 활동을 추적한 결과 중국의 랴오닝성 IP를 쓰는 조직이 2012년 5월부터 지난해 말까지 정부기관과 국제기구, 언론사 등을 사칭해 정부·연구·교육기관 관계자 785명에게 악성 e메일을 보냈다고 밝혔다.
<정희완 기자 roses@kyunghyang.com>
▶ 경향신문 SNS [트위터] [페이스북]
▶ [인기 무료만화 보기]
©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
