“안행부-국방대 교수 이름 사칭… 북한, 해킹툴 담긴 e메일 유포”

탈북자단체 대표 증언
첨부파일 열면 자동 설치돼 다른 파일 전송때 함께 옮겨가

북한이 남한의 정부기관과 교수들의 이름을 사칭해 해킹 툴이 담긴 e메일을 유포하고 있다는 증언이 나왔다.

탈북자단체 겨레얼통일연대의 장세율 대표는 28일 서울 중구 대한상공회의소에서 열린 기자회견에서 “북한은 수개월 전부터 남한 정부기관 및 인사들의 이름을 사칭해 윈도7에서도 작동하는 해킹 툴을 제작해 남한에 유포하고 있다”고 밝혔다.

본보 확인 결과 북한은 e메일 발신자를 ‘안전행정부, 통일연구원’ 등으로 꾸민 뒤 북한 관련 정보를 다루는 탈북자 단체나 정부 기관 등에 보내는 것으로 밝혀졌다. 장 대표가 이날 공개한 e메일에는 발신자가 안전행정부로 돼 있고 도메인은 ‘anghang.go.kr’로 돼 있었다. 하지만 안행부에 확인한 결과 “우리는 정부가 운영하는 통합 메일인 ‘korea.kr’를 도메인으로 사용한다”고 밝혔다.

북한은 한국핵정책학회장인 한용섭 국방대 교수와 박휘락 국민대 정치대학원 교수 이름으로도 e메일을 보냈다. e메일에는 ‘최근 진행된 토론회의 발표 논문과 학회 가입신청서를 첨부한다’는 내용을 담아 수신자가 의심 없이 첨부파일을 열어보도록 유도했다. 이에 대해 한 교수와 박 교수는 “이런 e메일 주소를 가진 적이 없다”고 밝혔다. 한 교수는 동아일보 취재 과정에서 이 사실을 알고 바로 국군 사이버사령부에 신고했다.

만일 수신자가 첨부 파일을 열어보면 해당 컴퓨터에는 바로 해킹 툴이 설치되고 수신자의 컴퓨터에서 다른 컴퓨터로 파일을 보낼 때 그 파일에 해킹 툴까지 함께 포함돼 전송된다. 이뿐만 아니라 북한 관련 키워드가 들어간 문서 파일을 자동 인식해 삭제하거나 북한 관련 인터넷주소(IP주소)로 보내도록 하는 기능도 포함됐다.

장 대표는 “e메일을 보낸 IP주소를 추적한 결과 중국 베이징인 것으로 조사됐으며 북한 정찰총국 기술정찰국 소속 해외파견 요원들이 e메일을 보낸 것으로 추정된다”고 밝혔다. 그는 “북한 기밀문서를 다루는 정부 기관이나 탈북자 단체는 특히 첨부파일 열람에 유의해야 한다”고 덧붙였다.

경찰청 보안사이버수사대 관계자는 “북한이 보내는 새로운 형태의 악성 e메일을 확인한 후 즉시 수사에 나설 것”이라고 밝혔다.

백연상 기자 baek@donga.com