58개 계정으로 정부·연구·교육기관 종사자 785명에게 악성(사칭) 이메일 발송
[보안뉴스 권 준 기자] 경찰청 사이버안전국에서는 지난해 11월 3일과 올해 1월 3일 北관련 학술연구 단체를 사칭하며 ‘우려되는 대한민국’ 등의 한글 첨부파일에 악성코드가 담긴 이메일을 발송했다는 본지 등의 기사와 관련해 수사한 결과를 발표했다.
▲ 북 관련 단체 사칭, 악성 이메일 발송사건 개요도
경찰청은 외교·안보·국방·통일 분야 종사자 총 40명에게 악성코드가 포함된 이메일을 발송한 공격 근원지가 북한 IP 주소임을 최종 확인했다.
수사결과, 이 사칭 이메일은 발송지인 북한 IP 주소에서 미국소재 서버를 경유하여 수신자들에게 발송됐으며, 전자우편에 각각 첨부된 ‘우려되는 대한민국.hwp’ 및 ‘2017년 북한 신년사 분석.hwp’ 한글 파일에는 정보를 유출하고 다른 악성코드를 추가로 전송받아 실행하는 기능이 포함되어 있는 것으로 밝혀졌다.
북한 소행으로 판단한 근거에 대해 경찰청은 범행에 사용된 악성 이메일, 악성코드 제어서버, 경유서버 등을 확보·분석한 결과, 해외 경유서버를 거쳐 IP 주소를 세탁했으며, 경유서버에서 북한 평양시 류경동에 할당된 IP로부터 공격이 시작된 사실을 확인했다는 점을 들었다. 북한 접속대역은 2013년 ‘3.20 사이버테러’ 및 2016년 방송사·수사기관·대학교수 사칭 이메일 발송사건에서 북한이 접속한 IP 주소 대역과도 일치한다.
이번 사건은 지난해 ‘청와대 등 사칭 전자우편 발송사건’과 동일한 목적으로 최근 국내 이슈를 이용하여 국방·외교부 종사자들의 이메일·PC 해킹을 통한 문서 등 정보 유출을 지속적으로 시도하고 있다는 게 경찰청 측의 설명이다.
국내 소재한 제어서버를 정밀분석 결과 현재까지 악성코드 감염 등 피해는 확인된 바 없으며, 악성코드에 포함된 사칭 이메일 수신자들에 대해서는 감염 우려에 대비하여 비밀번호 변경 등 계정 보호조치를, 사칭용 이메일 계정에 대해서는 영구 사용정지토록 포털사이트를 통해 조치했다고 경찰청은 밝혔다. 또한, 첨부파일에 포함된 악성코드에 대한 백신반영 조치도 완료했다.
경찰은 2016년 북한발 악성 이메일 추적·수사 결과, 경찰은 2016년 1월 13일 청와대 등 국가기관 사칭 이메일 발송 이후, 北 해킹조직 활동상황을 약 1년여 간 지속적으로 추적 수사해 왔다. 그 결과, 2012년 5월경부터 정부기관과 국제기구 사칭 뿐 아니라 피싱사이트로 유도하기 위해 포털사의 보안팀 등을 사칭하며 이메일 계정 58개를 생성, 정부·연구·교육기관 등 종사자 총 785명에게 악성 이메일을 발신한 사실을 추가로 확인했다.
경찰은 이러한 사이버공격을 지속적으로 탐지하면서 사칭용으로 생성한 이메일 계정에 대해서는 모두 영구삭제 조치를 시행했다. 더불어 사칭 이메일을 수신한 계정 785개에 대해서도 해당기관 등에 통보, 비밀번호를 변경하도록 조치했다고 밝혔다.
또한, 수사과정에서 북한이 이메일 서버 접속에 이용한 국내·해외 경유지 서버 등 69개를 파악해 국내 경유지에 대해 더 이상 이용되지 않도록 통보·조치하는 한편, 해외 경유지에 대해서는 국제공조 수사 중에 있는 것으로 알려졌다.
마지막으로, 2016년 발견된 악성코드 22종에 대해서는 KISA와 긴밀히 협조하여 백신 반영과 함께 악성코드와 통신하는 해외 서버와 피싱사이트에 대해서는 접속차단 조치를 취했다.
경찰 관계자는 “북한은 평상시에는 국내 인사들의 이메일 계정정보를 탈취하기 위해 북 관련단체 관계자들을 사칭하면서 피싱 이메일을 발송하지만, 파장이 있는 북한 관련 뉴스나 국내의 사회적 이슈가 있는 경우에는 이를 반영한 내용으로 악성 이메일을 유포하고 있는 것으로 확인됐다”며, “국민들에게는 발송자가 불분명한 이메일은 열람하거나 첨부파일을 실행하는 것을 피하고 이메일 ID와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 비밀번호 변경 및 본인의 접속 이력을 확인하는 등 사이버보안에 각별히 주의해 줄 것”을 당부했다.
경찰은 앞으로도 이러한 북한의 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원하여 지속적으로 탐지·추적함과 동시에 국가정보원, 국방부, 미래창조과학부, 한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 예정이다.
[권 준 기자(editor@boannews.com)]
[보안뉴스 권 준 기자] 경찰청 사이버안전국에서는 지난해 11월 3일과 올해 1월 3일 北관련 학술연구 단체를 사칭하며 ‘우려되는 대한민국’ 등의 한글 첨부파일에 악성코드가 담긴 이메일을 발송했다는 본지 등의 기사와 관련해 수사한 결과를 발표했다.
▲ 북 관련 단체 사칭, 악성 이메일 발송사건 개요도
경찰청은 외교·안보·국방·통일 분야 종사자 총 40명에게 악성코드가 포함된 이메일을 발송한 공격 근원지가 북한 IP 주소임을 최종 확인했다.
수사결과, 이 사칭 이메일은 발송지인 북한 IP 주소에서 미국소재 서버를 경유하여 수신자들에게 발송됐으며, 전자우편에 각각 첨부된 ‘우려되는 대한민국.hwp’ 및 ‘2017년 북한 신년사 분석.hwp’ 한글 파일에는 정보를 유출하고 다른 악성코드를 추가로 전송받아 실행하는 기능이 포함되어 있는 것으로 밝혀졌다.
북한 소행으로 판단한 근거에 대해 경찰청은 범행에 사용된 악성 이메일, 악성코드 제어서버, 경유서버 등을 확보·분석한 결과, 해외 경유서버를 거쳐 IP 주소를 세탁했으며, 경유서버에서 북한 평양시 류경동에 할당된 IP로부터 공격이 시작된 사실을 확인했다는 점을 들었다. 북한 접속대역은 2013년 ‘3.20 사이버테러’ 및 2016년 방송사·수사기관·대학교수 사칭 이메일 발송사건에서 북한이 접속한 IP 주소 대역과도 일치한다.
이번 사건은 지난해 ‘청와대 등 사칭 전자우편 발송사건’과 동일한 목적으로 최근 국내 이슈를 이용하여 국방·외교부 종사자들의 이메일·PC 해킹을 통한 문서 등 정보 유출을 지속적으로 시도하고 있다는 게 경찰청 측의 설명이다.
국내 소재한 제어서버를 정밀분석 결과 현재까지 악성코드 감염 등 피해는 확인된 바 없으며, 악성코드에 포함된 사칭 이메일 수신자들에 대해서는 감염 우려에 대비하여 비밀번호 변경 등 계정 보호조치를, 사칭용 이메일 계정에 대해서는 영구 사용정지토록 포털사이트를 통해 조치했다고 경찰청은 밝혔다. 또한, 첨부파일에 포함된 악성코드에 대한 백신반영 조치도 완료했다.
경찰은 2016년 북한발 악성 이메일 추적·수사 결과, 경찰은 2016년 1월 13일 청와대 등 국가기관 사칭 이메일 발송 이후, 北 해킹조직 활동상황을 약 1년여 간 지속적으로 추적 수사해 왔다. 그 결과, 2012년 5월경부터 정부기관과 국제기구 사칭 뿐 아니라 피싱사이트로 유도하기 위해 포털사의 보안팀 등을 사칭하며 이메일 계정 58개를 생성, 정부·연구·교육기관 등 종사자 총 785명에게 악성 이메일을 발신한 사실을 추가로 확인했다.
경찰은 이러한 사이버공격을 지속적으로 탐지하면서 사칭용으로 생성한 이메일 계정에 대해서는 모두 영구삭제 조치를 시행했다. 더불어 사칭 이메일을 수신한 계정 785개에 대해서도 해당기관 등에 통보, 비밀번호를 변경하도록 조치했다고 밝혔다.
또한, 수사과정에서 북한이 이메일 서버 접속에 이용한 국내·해외 경유지 서버 등 69개를 파악해 국내 경유지에 대해 더 이상 이용되지 않도록 통보·조치하는 한편, 해외 경유지에 대해서는 국제공조 수사 중에 있는 것으로 알려졌다.
마지막으로, 2016년 발견된 악성코드 22종에 대해서는 KISA와 긴밀히 협조하여 백신 반영과 함께 악성코드와 통신하는 해외 서버와 피싱사이트에 대해서는 접속차단 조치를 취했다.
경찰 관계자는 “북한은 평상시에는 국내 인사들의 이메일 계정정보를 탈취하기 위해 북 관련단체 관계자들을 사칭하면서 피싱 이메일을 발송하지만, 파장이 있는 북한 관련 뉴스나 국내의 사회적 이슈가 있는 경우에는 이를 반영한 내용으로 악성 이메일을 유포하고 있는 것으로 확인됐다”며, “국민들에게는 발송자가 불분명한 이메일은 열람하거나 첨부파일을 실행하는 것을 피하고 이메일 ID와 비밀번호가 노출되지 않도록 철저히 관리하면서, 주기적으로 비밀번호 변경 및 본인의 접속 이력을 확인하는 등 사이버보안에 각별히 주의해 줄 것”을 당부했다.
경찰은 앞으로도 이러한 북한의 사이버 공격에 대해서는 국제공조 등 가능한 치안 역량을 총동원하여 지속적으로 탐지·추적함과 동시에 국가정보원, 국방부, 미래창조과학부, 한국인터넷진흥원 등 유관기관 협업을 통한 추가 피해 방지 및 정보 공유 등을 위해 다각도로 노력할 예정이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
