강신명 경찰청장은 15일 오전 기자들과의 간담회 자리에서 "청와대 사칭 이메일 수사 결과 북한 해커조직의 범행으로 확신하는 단계"라고 밝혔다.
강 청장은 "북한 안에서 무선 인터넷을 이용해 압록강 인근 중국 랴오닝성의 IP를 사용할 수 있다는 사실이 입증됐다"며 "과거 한국수력원자력연구원(한수원) 해킹사건에 사용한 계정과 동일한 계정 두 개가 발견됐다"고 설명했다.
경찰에 따르면 '175.167'으로 시작하는 랴오닝성 일대에 할당된 무선 IP주소로부터 사칭용 메일 계정 18개가 만들어졌고, 이를 통해 청와대 사칭 메일이 살포된 것으로 조사됐다.
북한 해커집단은 이 메일계정을 통해 청와대 사칭 메일 52건을 발송했다. 또 포털사이트 운영자를 사칭해 계정을 가로채기 위한 '피싱 메일' 714건도 발송했다. 청와대 사칭 메일과 피싱 메일 두 종류를 모두 받은 이들은 7명이다.
수사팀 관계자는 "해당 메일에는 수신자 컴퓨터의 시스템 정보를 빼내 제3국으로 전송하는 악성코드가 포함돼있다"며 "청와대 메일에 답변한 35명을 상대로 조사한 결과 현재까지 악성코드가 작동되진 않았다"고 설명했다.
수신자 컴퓨터의 기본정보를 미국과 독일, 불가리아, 벨기에 등지로 보내 수집한 뒤 원격조종 등 추가 악성코드를 심는다는 게 수사팀의 설명. 북한 영토 내에서 무선기기를 통해 랴오닝성 IP를 사용할 수 있고, 사칭용 메일 계정 18개 가운데 2014년 한국수력원자력 해킹사건 당시 사용한 계정 2개가 발견되는 등 북한 해커집단의 소행이 확실시된다고 수사팀은 덧붙였다.
앞서 북한은 지난달 6일 4차 핵실험을 진행했다. 이후 청와대를 사칭, "북한 핵실험에 대한 의견을 구한다"는 내용의 설문 이메일이 유포돼 경찰이 수사에 나섰다. 메일을 받은 이들 가운데 35명이 회신한 것으로 조사됐고, 현재까진 국가안보자료 등이 유출된 흔적은 발견되지 않았다고, 경찰은 설명했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]