외교·국방부 직원 등 40명 타깃…평양 류경동發 사이버 공격 진화

보수단체로 가장… 관심 유도
美서버 거쳐 軍기밀 등 노린 듯

“현재 대한민국의 상황은 실로 커다란 우려를 자아내고 있다. 최순실 국정 농단으로 정국이 뒤집히고 박근혜 대통령의 하야를 노골적으로 외치고 있다. 변변한 말 한마디 없던 야당이 때를 만난 듯이 정부를 공격하고 비방하고 정권탈취를 시도하고 있다.(중략) 해법은 무엇인가? 바로 박 대통령을 지키는 일이다.”누가 보더라도 박 대통령 탄핵 반대를 외치는 보수시민단체가 작성했을 법한 내용이다. 그러나 이 글을 담은 이메일을 작성한 주체는 놀랍게도 북한인 것으로 경찰 수사 결과 드러났다. 친정부적이고 강한 보수 색채의 주장으로 우리나라 정부 및 통일연구원 관계자들의 관심을 끌어 해킹 악성코드를 심으려는 시도로 풀이된다. 남한 정부를 비방하며 남남 갈등을 조장하던 그간의 기조와 정반대의 형태다. 북한의 해킹 수단이 빠르게 진화하고 있는 셈이다.

경찰청은 지난해 11월 악성코드에 감염된 ‘우려되는 대한민국.hwp’ 파일을 유포한 이메일의 인터넷 프로토콜(IP)을 추적한 결과 평양 류경동에서 발송된 것을 확인했다고 25일 밝혔다. 류경동은 조선 체신성, 중국 랴오닝(遼寧)성과 함께 북한의 대표적인 사이버테러 진원지다.

메일에는 ‘모든 종북파들, 야당파들이 나라의 모든 공권력을 틀어쥔다고 생각해 보라. 그들은 김정은을 대통령직에 모셔올지도 모른다’, ‘아직 특검도 끝나지 않고 여론으로만 문제가 불거진 상황에서 어제 박원순 서울시장의 인터뷰를 보니 더욱 기가 막힌다’, ‘북한에 더이상 기회를 줄 수 없음을 말하고 싶다’ 등의 내용이 포함됐다. 경찰은 북측이 사회 갈등을 부추기려는 목적보다, 사회적 관심이 큰 주제를 실어 메일을 열도록 해 악성코드를 확산시키려 했던 것으로 봤다. 쉽게 말해 스스로를 비판하면서까지 해킹 툴을 확산하려 했다는 의미다.

이달 초에 북측이 유포했던 ‘2017년 북한 신년사 분석.hwp’의 경우에는 통일부가 지난 1일 실제 배포한 보도자료에 북측이 악성코드를 심었던 것으로 밝혀졌다. 가상 단체인 ‘통일연구원 산하 북한연구학회’ 명의로 온 메일에 첨부된 보도자료를 열면 자동으로 컴퓨터에 악성코드가 설치돼 정보들을 유출한다.

이번 메일들은 국방부 관계자 3명, 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 총 40명에게 발송됐다. 하지만 실제 악성코드에 감염된 건은 없었다. 경찰은 북한이 군사·외교 기밀 및 탈북자 정보 등을 빼내려 한 것으로 봤다.

이번 사건과 별도로 경찰은 중국 랴오닝성 IP를 쓰는 북한 해커 조직이 2012년 5월부터 지난해 말까지 우리나라 정부 기관, 유엔, 포털사이트 보안팀을 사칭한 이메일 계정 58개로 정부기관, 언론사 직원 등 785명에게 악성 메일을 보낸 사실도 확인했다. 경찰은 발송자가 분명치 않은 이메일의 첨부 파일을 실행할 때 주의를 당부했다.

강신 기자 xin@seoul.co.kr