고려대 정보보호대학원 해킹, 북한 소행 확인

지난해 발생한 고려대 정보보호대학원 e메일 계정에 대한 해킹 시도는 대만에 서버를 두고 있는 북한 계정에서 시작된 것으로 드러났다. 그동안 북한 소행으로 추정돼 오던 것이 처음 사실로 확인된 것이다.

16일 고려대 관계자는 국방부와 국가정보원에서 사전에 파악하고 있던 북한의 해외 계정 중 한 군데서 문제의 e메일이 최초 발신된 사실을 확인했다며 사건 발생 직후 우려했던 대로 북한이 정보를 빼내기 위해 해킹을 시도한 것으로 결론 내렸다고 밝혔다.

고려대 정보보호대학원은 지난해 11월 대학원 내부 e메일 계정(cist.korea.ac.kr)을 이용해 악성코드가 담긴 e메일이 졸업생 50여 명에게 집단 유포된 사실을 확인하고 국정원, 국방부와 함께 합동 조사를 벌여왔다. 발신지를 역추적한 결과 문제의 e메일은 북한이 평소 사용하던 대만 내 서버에서 보내진 것으로 확인됐다. 북한은 중국 대만 홍콩 러시아 등 해외 국가에 수백 개의 서버를 점령하고 있으며 주로 북한 인민무력부 산하 정찰총국 내 해킹부대원들이 추적이 어렵도록 이 서버들을 수차례 경유하는 방식으로 해킹을 시도해 오고 있다.

특히 이번 해킹 시도는 지난해 5월 육군사관학교 동기들에게 집단 해킹 e메일을 보냈던 조직과 같은 조직에서 벌인 것으로 드러났다. 지난해 5월 육사 출신 장교 60여 명에게 악성코드가 담긴 e메일이 집단 전송되는 사건이 발생하자 국방부는 발신지를 역추적한 결과 지난해 34 디도스 공격 당시 북한에서 사용한 중국 소재 IP와 같다고 밝혔다.

대학원 관계자는 상대적으로 버전이 낮은 한글 2002를 이용해 악성코드가 제작된 점, 다음 한메일 계정을 이용해 e메일이 전송된 점 등으로 미뤄 볼 때 동일 조직의 소행인 것으로 보인다고 설명했다.

문제의 악성코드는 PC를 감염시켜 사용자가 e메일로 주고받은 자료를 빼낼 수 있지만, 다행히 당시 e메일을 받은 졸업생 모두 파일을 열어보지 않은 데다 악성코드 자체에도 제작 결함이 있어 제대로 작동되지 않아 감염에 따른 2차 피해는 없었다. 당시 악성코드를 분석했던 대학원 관계자는 악성코드가 한글 2002 버전을 기준으로 제작돼 호환성에 문제가 있었다며 북한 해킹 세력도 한국 정부기관이 한글 2002 버전을 쓰는 경우가 많다는 걸 알고 일부러 한글 2002를 이용해 악성코드를 만든 것으로 보인다고 설명했다.

학교 측은 별도로 사용하던 대학원 e메일 서버는 폐쇄하고 상대적으로 방화벽 및 보안관리가 잘돼 있는 고려대 계정으로 통합한 상태다. 해킹 시도가 발생한 뒤로 서버 모니터링을 강화하고 내부 인력을 대상으로 한 보안교육도 늘렸다.

국내 한 보안업계 관계자는 최근 북한 해킹부대에서 제작하는 방식의 악성코드 샘플들이 국내에서 잇따라 발견되고 있다며 북한의 조직적인 해킹에 맞설 사이버 공격 및 방어 수단 확보가 시급하다고 지적했다.

김지현 jhk85@donga.com