16일 경찰청은 지난 달 13일부터 14일 양일간 ‘청와대 국가안보실’ 등 정부기관을 사칭, 4개의 이메일로 대량 발송된 스팸에일 사건의 수사 결과를 발표했다.
경찰의 수사결과 해당 공격자는 지난 해 6월 22일부터 약 7개월에 거쳐 국가기관 뿐 아니라 피싱사이트로 유도하기 위해 포털을 사칭하는 등, 이메일 계정 18개를 이용해 759명에게 전자우편을 발신한 사실도 함께 확인됐다.
특히 압수수색영장을 통해 확보한 메일 첨부파일 66개를 ‘한국인터넷진흥원(KISA)’과 공동으로 정밀 분석한 결과, 그 중 20개의 파일에서 정보를 유출하는 기능을 가진 악성코드가 발견됐다.
또 발송에 사용된 IP와 악성코드 등을 분석한 결과, 과거 한수원 사건과의 관련성을 찾을 수 있었는데, 첫째, 메일 계정 중에서 한수원 사건에 사용됐던 동일한 계정 2개가 발견됐다.
또 이번 사건에서도 한수원 사건에서 이용됐던 중국 요녕성 IP 대역(175.167.x.x)을 그대로 사용한 것으로 확인됐으며 악성코드 중 일부는 북한이 제작 및 유포한 것으로 알려진 ‘kimsuky’ 계열 악성코드와 유사점도 함께 발견됐다.
특히 경찰은 이번 사건에 이용된 IP는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로, 북-중 접경지역에서 해당 IP주소가 사용되고 있음 역시 확인했다.
수신자 분석 결과에도 직업이 확인된 사칭메일 수신자 460명 중 북한과 관련된 직업에 종사하는 자가 약 87%(404명)에 이르렀는데 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, ‘년말’, ‘리론적 고찰’ 등 두음법칙을 사용하지 않은 문장이 있고, ‘우와 같은’, ‘오유’ 등의 북한식 단어, ‘인문유대 강화’, ‘특별제시’, ‘2급 암호 설정’ 등 생소한 어휘가 사용되었음을 확인할 수 있었다.
한편 경찰청은 현재까지 악성코드 감염 등 피해 사실은 발견되지 않고 있으나, 사칭메일 수신자(759명) 대해 비밀번호 변경 등 계정 보호조치를, 사칭용 계정(18개)에 대해서는 영구삭제조치를 하였고 아울러 발견된 악성코드(20종)에 대한 백신반영 조치도 완료했다.
이선기 기자
6352seoul@hanmail.net