경찰청(사이버범죄대응과)에서는 2016. 1. 13.∼14. ‘청와대 국가안보실’ 등 정부기관을 사칭하여 전자메일계정 4개로 전자우편을 발송한 사건에 대해 수사한 결과, 공격자는 ’15. 6. 22.경부터 약 7개월간 국가기관 뿐 아니라 피싱사이트로 유도하기 위해 포털을 사칭하는 등, 전자메일계정 18개를 이용하여 759명에게 전자우편을 발신한 사실을 확인하였다.



또한, 압수수색영장을 통해 확보한 메일 첨부파일 66개를 ‘한국인터넷진흥원(KISA)’과 공동으로 정밀 분석한 결과, 그 중 20개의 파일에서 정보를 유출하는 기능을 가진 악성코드가 발견되었다.



본 건 범행에 사용된 인터넷 접속 IP와 악성코드 등을 분석한 결과, 과거 한수원 사건과의 관련성을 찾을 수 있었는데, 첫째, 메일 계정 중에서 한수원 사건에 사용되었던 동일한 계정 2개가 발견되었고, 둘째, 이번 사건에서도 한수원 사건에서 이용되었던 중국 요녕성 IP 대역(175.167.x.x)을 그대로 사용한 것으로 확인되었으며, 셋째, 악성코드 중 일부는 북한이 제작.유포한 것으로 알려진 ‘kimsuky’ 계열 악성코드와 유사점이 있음을 발견하였다.



특히, 이번 사건에 이용된 IP는 중국 요녕성 지역 이동통신에 할당되는 모바일 IP주소 대역으로, 북-중 접경지역에서 해당 IP주소가 사용되고 있음이 확인되었다.



수신자 분석 결과, 직업이 확인된 사칭메일 수신자 460명 중 북한과 관련된 직업에 종사하는 자가 약 87%(404명)에 이르렀다.



또한, 북한 언어학 전문가의 자문을 받아 메일 원문 내용을 분석한 결과, ‘년말’, ‘리론적 고찰’ 등 두음법칙을 사용하지 않은 문장이 있고, ‘우와 같은’, ‘오유’ 등의 북한식 단어, ‘인문유대 강화’, ‘특별제시’, ‘2급 암호 설정’ 등 생소한 어휘가 사용되었음을 확인할 수 있었다.



피싱 사이트로 유도하는 범행 수법과 발견된 악성 코드의 정보유출 기능 등으로 볼 때, 공격의 일차적인 목적은 사칭(악성) 메일을 보내 상대방의 ID와 비밀번호를 획득하는 것이고, 이차 목적은 메일 해킹을 통한 문서 등 정보 유출로 판단된다.



경찰청은 현재까지 악성코드 감염 등 피해 사실은 발견되지 않고 있으나, 사칭메일 수신자(759명) 대해 비밀번호 변경 등 계정 보호조치를, 사칭용 계정(18개)에 대해서는 영구삭제조치를 하였고 아울러 발견된 악성코드(20종)에 대한 백신반영 조치도 완료하였다고 밝혔다.



경찰은 앞으로도, 긴밀한 국제공조 진행 등 가능한 모든 사이버 역량을 총동원하여 지속적으로 범인을 추적함과 동시에, 유관기관 협업을 통해 추가적인 피해 방지를 위해 노력할 예정이다.



아울러, 이메일 ID 및 비밀번호가 외부에 노출되지 않도록 철저히 관리하면서, 주기적으로 비밀번호를 변경하고 본인의 접속 이력을 확인하는 등 사이버보안에 각별히 주의해 줄 것을 국민들에게 당부하였다.