[청와대 사칭] 악성 이메일 공공기관에 대량 유포

'북 핵실험'관련 청와대 사칭 악성 이메일 대량유포
MBN | 입력 2016.01.15. 07:22

 

[앵커멘트] 북한의 4차 핵실험 직후 청와대 등을 사칭한 이메일이 대량 유포돼 관계 당국이 긴급 대응에 나섰습니다. 북한이 전면적인 사이버테러를 준비하는 게 아니냐는 우려가 나오고 있습니다. 윤범기 기자입니다.

[기자] 지난 6일 북한의 핵실험 직후 공공기관 관계자들에게 집중 유포된 이메일입니다. 제목에는 '국가안보실'과 '청와대 외교안보실' 등에서 '북한 핵실험 관련 의견 수렴'이나 '서면 자문을 요청한다'고 밝히고 있습니다. 하지만 이 이메일에는 북한에서 만들어진 것으로 추정되는 악성코드가 발견된 것으로 알려졌습니다. 해당 이메일을 열거나 첨부파일을 실행하면 PC가 악성코드에 감염돼 해킹되는 겁니다.

 

 

관계 당국은 이번 해킹 시도가 핵실험 뒤 사이버 도발에 나선 북한의 소행일 가능성이 크다고 보고 있습니다.

북한은 지난 2차와 3차 핵실험 뒤에도 '디도스' 공격 등 대남 사이버테러를 감행한 바 있습니다. 경찰은 현재 해킹 메일의 계정과 인터넷 주소 등을 바탕으로 발신자를 추적하고 있습니다. 전문가들은 이런 메일을 받으면 절대 열람하지 말고 즉시 삭제해야 한다고 강조했습니다. 또 마이크로소프트와 한컴오피스, 백신 등은 최신 상태로 업데이트하라고 권고했습니다. MBN뉴스 윤범기입니다. [ bkman96@mk.co.kr ]

 

北핵실험 의견수렴' 청와대 사칭 이메일 대량유포
연합뉴스 | 입력 2016.01.15. 07:43 | 수정 2016.01.15. 07:53 
 

경찰 수사 착수… "北소행 등 모든 가능성 열어두고 발신자 추적"

(서울=연합뉴스) 박성민 기자 = 청와대와 외교부를 사칭해 북한의 제4차 핵실험에 대한 의견을 수렴하는 내용의 이메일이 대량으로 유포돼 경찰이 수사에 나섰다. 경찰청 사이버안전국 관계자는 15일 연합뉴스와의 통화에서 "해당 이메일을 확보해 어제 수사에 착수했다"며 "아직 확인되지 않았지만, 북한 소행 등 모든 가능성을 열어두고 있다"고 밝혔다. 해당 이메일은 청와대 국가안보실과 외교안보수석실, 외교부 정책총괄담당관실과 통일정책실 등 2개 기관의 4개 부서를 사칭해 북한이 4차 핵실험을 감행한 이달 6일 이후 공공기관 관계자 등에게 집중적으로 유포됐다.

 

↑ <연합뉴스 자료사진>

 

메일 제목에는 '[국가안보실] 북한 4차 핵실험 관련 대응방안 의견 수렴', '청와대 외교안보실입니다', '북한 4차 핵실험 관련 서면 자문 요청' 등의 문구가 들어 있는 것으로 전해졌다.

경찰은 해당 메일에 해킹 등을 위한 악성코드가 숨겨져 있는지는 아직 확인하지 못했지만, 주요 국가기관을 사칭한 만큼 불순한 의도가 있다고 판단해 발신자를 추적하고 있다.

특히 해당 메일이 북한발 사이버 테러일 가능성도 배제하지 않고 수사를 벌이고 있다고 경찰은 전했다.

경찰 관계자는 "요새는 이메일을 통해 해킹을 시도할 때 처음에는 악성코드를 심지 않았다가, 수신자가 답장을 하며 반응을 보이면 두 번째 메일에 악성코드를 심는 것이 일반적인 수법"이라며 "해당 이메일을 자세히 분석하고 피해 사례를 수집해봐야 북한 소행인지 여부를 알 수 있을 것"이라고 말했다.

min22@yna.co.kr

(끝)

 

핵실험 뒤 북한발 사이버테러 위기고조

청와대 사칭 해킹 메일 포착    
전자신문 2016.01.14

 청와대를 사칭해 국가·공공기관을 노린 해킹 메일이 대량 유포됐다. 북한 4차 핵실험 후 군사 대치 상황이 계속되는 가운데 사이버 긴장감이 고조된다. 매번 핵실험 후 사이버 도발을 감행해온 북한이 다시 움직이는 정황이다. 14일 관계기관과 보안 업계는 공공기관에 해킹 이메일이 대량 발송돼 긴급 대응에 들어갔다.

 

관계기관은 13일 국가 공공기관에 청와대 사칭 해킹 이메일 보안 공지를 내렸다. 보안업계는 지난 6일 이후 북한으로 추정되는 사이버전 조직 활동이 급증해 대응과 비상 관제를 강화했다. 한국인터넷진흥원도 긴급 보안 공지를 게시했다. 국가사이버안전센터는 8일 4차 핵실험 후 북한 추가 도발에 대비해 사이버 위기 ‘관심’ 경보를 발령했다. 각급 기관과 보안관제센터 근무를 보강하고 비상근무태세를 유지했다. 관심 경보는 사이버 공격 발생 가능성이 높아 탐지 활동이 강화되는 의미다.

 

 

↑ 청와대를 사칭해 공공기관에 뿌려진 해킹메일(자료:사이버워 페이스북)<청와대를 사칭해 공공기관에 뿌려진 해킹메일(자료:사이버워 페이스북)>

공공기관을 노린 사이버 공격은 진행형이다. 관계기관은 공공기관에 발신계정 ‘이정규(sntongil12@daum.net)와 이용주(returnkk@daum.net)’, 외교부 정책총괄담당관실(mofa_speaker@daum.net), 통일정책실(unipreess@daum.net)에서 온 메일 열람 금지령을 내렸다. 관련 메일은 ‘[국가안보실]북한 4차 핵실험 관련 대응방향 의견 수렴’ ‘청와대 외교안보실입니다.’ ‘북한 4차 핵실험 관련’, ‘북한 4차 핵실험 관련 서면 자문 요청드립니다’는 제목을 쓴다. 해당 메일을 수신하면 열람하지 말고 즉시 삭제해야 한다. 한국인터넷진흥원은 마이크로소프트, 한컴오피스, 백신 등을 상용소프트웨어를 최신 상태로 업데이트하라고 권고했다.

 

보안 업계는 지난 6일 4차 핵실험 이후 북한 활동이 전면 재개됐다고 분석했다. 사이먼 최 이슈메이커스랩 대표는 “지난 6일 이후 북한 사이버전사가 웹과 한글 취약점 등 다방면으로 공작을 수행 중”이라며 “과거와 다른 새로운 악성코드를 제작해 활발한 정찰과 작전을 벌인다”고 설명했다.

 

<한국인터넷진흥원 인터넷침해대응센터 상황실에서 직원들이 사이버보안 현황을 실시간 감시하고 있다. (자료:KISA)>

대북 사이버전 연구그룹 사이버워는 “수소폭탄 실험 후 7일과 8일 제작된 북한발 악성코드가 국내서 포착됐다”며 “중국 정부기관과 한국 웹사이트를 명령&제어(C&C) 서버로 쓰는 공격자 활동이 급증했다”고 분석했다. 사이버워는 “이 공격자는 한컴오피스 업데이트 모듈과 마이크로소프트 아웃룩 모듈, 인텔 드라이버, 마이크로소프트 프로그램, 네이트온 메신저 업데이트 등 다양한 프로그램으로 악성코드를 위장했다”고 덧붙였다.

 

2013년 3월 20일 대형 사이버테러 희생양이 된 금융권도 상황을 주시한다. 고승범 금융위원회 상임위원은 지난 13일 ‘북한 핵실험 관련 금융권 대응 현황 점검회의’를 열었다. 이날 회의는 북한이 물리적 도발 후 금융 시스템 등 국가기간시설에 사이버 공격을 시도한 전례에 비춰 마련됐다. 북한은 2009년 5월 25일 핵실험 뒤 7월 7일 분산서비스거부(디도스) 공격을 감행했다. 2013년 2월 12일 핵실험 후 3월 20일과 6월 25일 각각 사이버 테러를 저질렀다. [김인순 기자 insoon@etnews.com]