‘최순실 국정농단’ 악성코드 e메일은 北소행

경찰 “평양 유경동서 발송 확인”… 국방부-탈북단체 등 대상 해킹시도

　북한이 정부기관뿐 아니라 탈북자를 타깃으로 해킹 공격을 시도한 사실이 확인됐다. 정부는 북한 관련 단체와 회의를 열고 탈북자 개인정보 유출 방지 등 대책 마련에 나섰다.

　경찰청은 지난해 11월과 올 1월 국방부와 외교부 탈북단체 직원 등 40명에게 발송된 악성코드 e메일의 인터넷주소(IP주소)가 북한으로 확인됐다고 25일 밝혔다. 경찰이 해당 e메일과 악성코드 제어 서버, 경유 서버 등을 분석한 결과 북한 평양시 유경동에 할당된 IP로부터 미국 소재 서버를 경유해 국내로 e메일이 발송됐다. 다만 경찰은 실제 악성코드 감염이나 정보 유출 등의 피해는 발생하지 않은 것으로 파악했다.

　이번 공격에서는 악성코드 실행을 유도하기 위해 e메일에 최순실 국정 농단 등 최신 현안을 언급한 게 특징. 지난해 11월 3일 북한전략정보서비스센터 대표 명의로 보내진 e메일은 ‘심심해서 쓴 글입니다’란 제목에 ‘우려되는 대한민국’이란 한글 문서가 첨부됐다. 이때는 ‘비선 실세’ 최순실 씨(61)의 국정 농단을 밝힐 핵심 증거로 지목된 태블릿PC가 공개된 후였다.

　한글 문서 작성자 이름은 영어로 ‘MalDaeGaRi’(말대가리). 당시 최 씨의 딸 정유라 씨(21)가 승마 특기생으로 이화여대에 부정 입학했다는 의혹이 불거진 상황을 악용한 것으로 보인다. 경찰 관계자는 “북한 IP를 추적해 보니 포털 뉴스에 자주 접속한 흔적이 발견됐다”며 “사람들의 관심이 집중되는 현안이 발생하면 e메일 해킹에 이용했다”고 밝혔다.

　또 1월 3일 통일연구원 북한연구학회 명의로 발송된 e메일에는 ‘2017년 북한 신년사 분석’이란 한글 문서가 첨부됐다. 북한 김정은 노동당 위원장이 신년사에서 ‘능력 부족’을 언급해 배경을 둘러싼 해석이 분분하던 때였다.

　이에 따라 국가사이버안전센터는 25일 탈북단체 등 10여 곳의 대표와 긴급회의를 열어 피해 상황 파악과 대응책을 의논했다. e메일을 통해 악성코드가 설치되면 민감한 탈북자 정보가 유출될 위험이 크기 때문이다.

박훈상 기자 tigermask@donga.com