“靑사칭 e메일, 北 ‘킴수키’와 IP 숫자 9개 일치”

경찰청장 “2014년 한수원 해킹때와 같은 계정 확인… 악성코드도 유사
‘년말’ 등 북한식 표현도 사용”

지난달 13, 14일 청와대를 사칭해 대량 발송된 e메일이 북한 해커 조직의 소행으로 드러났다.

강신명 경찰청장은 15일 열린 기자간담회에서 “청와대 사칭 e메일 발신에 사용된 인터넷주소(IP주소)가 2014년 한국수력원자력(한수원) 해킹 사건과 동일한 지역인 중국 랴오닝(遼寧) 성 대역으로 확인됐다”며 “북한 영토에서 랴오닝 성 IP를 무선으로 쓸 수 있어 북한의 범행으로 확신한다”고 밝혔다. 앞서 경찰은 지난달 북한 핵실험 이후 청와대 국가안보실 등 정부기관을 사칭해 북한 핵실험 의견을 물은 e메일이 대량 발송되자 출처 등의 확인에 나섰다.

경찰이 e메일 발신 IP를 분석한 결과 한수원 사건에 사용된 것과 동일한 계정 2개가 발견됐다. 또 첨부파일 66개 중 20개에서 정보를 유출하는 악성코드가 발견됐다. 경찰 관계자는 “한수원 해킹을 저지른 북한 해킹 조직 ‘킴수키(kimsuky)’ 계열 IP주소 12개 숫자 중 9개가 정확하게 일치하고 악성코드도 유사하다”며 “사건에 이용된 IP가 이동통신에 할당된 모바일 대역으로 확인됐다”고 밝혔다. 또 ‘년말’(연말), ‘리론적 고찰’(이론적 고찰) 등 두음법칙을 사용하지 않은 북한식 표현도 발견됐다.

북한 해커 조직은 지난해 6월부터 올 들어 지난달 14일까지 국내 한 대형 포털사이트 e메일 계정 18개를 이용해 759명에게 e메일을 발신했다. 수신자 460명 중 북한을 연구하는 교수, 연구원 등 북한 관련 직업에 종사하는 사람이 87%인 404명이었다. e메일에서 요청한 북한 핵실험 관련 질문에 답장을 한 사람은 35명이다. 경찰청 관계자는 “북한이 대형 포털 사이트의 ‘비밀번호 변경고지’를 가장한 피싱 메일을 보내기도 했다”며 “포털사이트 계정과 비밀번호를 알아내 대북 정보를 유출하려 한 것으로 보인다”고 밝혔다.

박훈상 기자 tigermask@donga.com