박 대통령 음해 ‘사이버 삐라’ 유포, 북한 소행 확인
방송사 사칭해 38,988명에게 대량 메일 발송
[보안뉴스 민세아] 북한이 국내 방송사, 경찰청 사이버수사관, 대학 교수를 사칭해 대통령을 음해하는 내용의 ‘사이버 삐라’와 악성 프로그램을 유포한 사실이 밝혀졌다.
▲사칭 메일 발송사건 종합 개요도
경찰청 사이버안전국 사이버수사과에서는 지난 1월 27일 경 박근혜 대통령을 음해하는 내용으로 국내 방송사의 사내 메일 계정을 사칭해, ‘북한의 핵은 우리민족의 핵이고 힘입니다’라는 유튜브 동영상 링크를 담은 이메일을 총 38,988명에게 발송한 사건에 대해 수사한 결과, 북한의 소행임을 확인했다.
또한 지난 2월 18일, 현직 경찰청 사이버수사관을 사칭해 ‘대통령 음해 동영상에 대한 국가보안법 수사에 협조해 달라’는 내용으로 경찰 마크가 삽입된 악성 프로그램이 첨부된 이메일을 대북 관련인사 48명에게 발송했던 사실과 1월 11일 대학 교수를 사칭해 악성 프로그램이 첨부된 이메일을 방송사 기자 등 83명에게 발송했던 사실도 추가로 확인됐다.
경찰청 사이버안전국에서 범행에 사용된 경유서버 및 악성코드 제어서버 등을 분석한 결과, 모두 북한에서 접속한 사실을 확인했고, 접속 IP들은 지난 2013년 ‘3.20. 사이버테러’ 당시 북한에서 접속한 IP 대역과 일치한다는 사실이 드러났다. 이 외에도 추가로 이메일 계정 관련성, 악성코드 유사성, 수신자 직업 특성 등 각종 직접·정황 증거를 종합해 북한 소행으로 판단했다.
경찰청 사이버안전국 측은 “북한은 ‘사이버 삐라’를 이용해 대통령을 음해하고, 나아가 ‘북한의 핵 보유가 남한에 이득’이라는 여론 몰이를 꾀하는 등 심리전의 일환으로 범행을 저지른 것으로 판단되며, ‘청와대 등 사칭 이메일 발송사건’과 동일한 방법으로 이메일·PC 해킹을 통한 문서 등 정보 유출을 지속적으로 시도한 것으로 확인됐다”고 밝혔다.
현재까지 악성코드 감염 등 피해 사실은 발견되지 않고 있으며, 경찰청 사이버안전국은 악성코드가 포함된 사칭메일 수신자 131명의 감염 우려에 대비해 비밀번호 변경 등 계정 보호조치를, 사칭용 메일 계정에 대해서는 영구 삭제토록 포털사이트에 요청했으며, 아울러 발견된 악성코드 5종에 대해 백신에 반영하는 조치를 완료했다.
또한, 방송사 사칭메일 발송 시 이용된 ‘대량메일 발송서비스’에 대해서는 임의로 기관메일을 사칭할 수 없도록 재발방지 조치를 마무리했다고 밝혔다.
경찰청 사이버안전국 관계자는 “최근의 ‘유엔 안보리 대북 제재조치’로 인해 북한의 악성 이메일 유포 시도가 지속될 것으로 판단되므로 국민들에게 각별한 주의를 당부하는 한편, 앞으로도 이러한 북한발 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원해 대응하고, 국정원·미래창조과학부·한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 예정”이라고 밝혔다.
한편, 경찰은 지난 4월, 한국인터넷진흥원 직원을 사칭해 국내 IT업계 종사자들에게 악성 이메일이 발송된 사건에 대해서도 수사를 계속하고 있다.
[민세아 기자(boan5@boannews.com)]
방송사 사칭해 38,988명에게 대량 메일 발송
[보안뉴스 민세아] 북한이 국내 방송사, 경찰청 사이버수사관, 대학 교수를 사칭해 대통령을 음해하는 내용의 ‘사이버 삐라’와 악성 프로그램을 유포한 사실이 밝혀졌다.
▲사칭 메일 발송사건 종합 개요도
경찰청 사이버안전국 사이버수사과에서는 지난 1월 27일 경 박근혜 대통령을 음해하는 내용으로 국내 방송사의 사내 메일 계정을 사칭해, ‘북한의 핵은 우리민족의 핵이고 힘입니다’라는 유튜브 동영상 링크를 담은 이메일을 총 38,988명에게 발송한 사건에 대해 수사한 결과, 북한의 소행임을 확인했다.
또한 지난 2월 18일, 현직 경찰청 사이버수사관을 사칭해 ‘대통령 음해 동영상에 대한 국가보안법 수사에 협조해 달라’는 내용으로 경찰 마크가 삽입된 악성 프로그램이 첨부된 이메일을 대북 관련인사 48명에게 발송했던 사실과 1월 11일 대학 교수를 사칭해 악성 프로그램이 첨부된 이메일을 방송사 기자 등 83명에게 발송했던 사실도 추가로 확인됐다.
경찰청 사이버안전국에서 범행에 사용된 경유서버 및 악성코드 제어서버 등을 분석한 결과, 모두 북한에서 접속한 사실을 확인했고, 접속 IP들은 지난 2013년 ‘3.20. 사이버테러’ 당시 북한에서 접속한 IP 대역과 일치한다는 사실이 드러났다. 이 외에도 추가로 이메일 계정 관련성, 악성코드 유사성, 수신자 직업 특성 등 각종 직접·정황 증거를 종합해 북한 소행으로 판단했다.
경찰청 사이버안전국 측은 “북한은 ‘사이버 삐라’를 이용해 대통령을 음해하고, 나아가 ‘북한의 핵 보유가 남한에 이득’이라는 여론 몰이를 꾀하는 등 심리전의 일환으로 범행을 저지른 것으로 판단되며, ‘청와대 등 사칭 이메일 발송사건’과 동일한 방법으로 이메일·PC 해킹을 통한 문서 등 정보 유출을 지속적으로 시도한 것으로 확인됐다”고 밝혔다.
현재까지 악성코드 감염 등 피해 사실은 발견되지 않고 있으며, 경찰청 사이버안전국은 악성코드가 포함된 사칭메일 수신자 131명의 감염 우려에 대비해 비밀번호 변경 등 계정 보호조치를, 사칭용 메일 계정에 대해서는 영구 삭제토록 포털사이트에 요청했으며, 아울러 발견된 악성코드 5종에 대해 백신에 반영하는 조치를 완료했다.
또한, 방송사 사칭메일 발송 시 이용된 ‘대량메일 발송서비스’에 대해서는 임의로 기관메일을 사칭할 수 없도록 재발방지 조치를 마무리했다고 밝혔다.
경찰청 사이버안전국 관계자는 “최근의 ‘유엔 안보리 대북 제재조치’로 인해 북한의 악성 이메일 유포 시도가 지속될 것으로 판단되므로 국민들에게 각별한 주의를 당부하는 한편, 앞으로도 이러한 북한발 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원해 대응하고, 국정원·미래창조과학부·한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 예정”이라고 밝혔다.
한편, 경찰은 지난 4월, 한국인터넷진흥원 직원을 사칭해 국내 IT업계 종사자들에게 악성 이메일이 발송된 사건에 대해서도 수사를 계속하고 있다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
