경찰 “2014년 한수원 해킹사건과 동일한 중국 랴오닝성 IP” 두번째 메일부터 악성코드 심는 ‘투트랙 스미싱 메일’ 활용

최근 청와대 등 주요 국가기관을 사칭해 정부기관 및 연구기관에 대량으로 발송된 이메일의 발신지가 2014년 북한 해커의 소행으로 추정된 ‘한국수력원자력 해킹 사건’과 동일한 지역인 것으로 18일 확인됐다.

강신명 경찰청장은 이날 오전 서대문구 미근동 경찰청사에서 언론 간담회를 한 자리에서 “해당 이메일의 발신자 계정에 대해 압수수색 영장을 발부받아 추적을 해보니 IP가 중국 랴오닝(遼寧)성의 대역으로 확인됐다”고 밝혔다.

강 청장은 이어 “이번에 사칭 이메일이 발송된 IP는 특히 한수원 해킹 사건 때 활용된 IP 구역과 정확히 일치했다”고 덧붙였다.

‘원전 가동중단 협박’과 ‘원전도면 유출 사태’로 충격을 줬던 2014년 말 한수원 해킹 사건과 관련해 정부합동수사단은 북한 해커의 소행으로 판단된다는 수사결과를 발표한 바 있다.

강 청장은 다만 “이번 사칭 이메일도 북한 소행으로 추정하나”라는 질문에 “한수원 해킹 사건 때 사용된 IP 대역과 일치한다는 것 이상으로 아직 확실하게 말씀드릴 단계는 아니다”라고 답했다.

강 청장은 또 이번에 발송된 사칭 이메일의 성격을 ‘투트랙 스미싱 메일’로 규정했다.

첫번째 보낸 메일에는 악성코드를 심지 않아 상대를 안심시키고서 수신자가 해당 메일에 대해 답장을 하는 등 반응을 보이면 두번째 보내는 메일에 악성코드를 심어 감염을 유도하는 방식이라는 것이다.

강 청장은 “한번에 바로 감염되는 게 아니고 그것을 받고 답을 해주면 두번째 악성코드 심은 것을 보내는 유형”이라며 “이 때문에 이번 사칭 이메일로 인한 피해는 그리 크지 않거나 아예 없을 것으로 추정된다”고 설명했다.

경찰은 이달 13일과 14일 청와대와 외교부, 통일부를 사칭해 북한 4차 핵실험에 대한 의견을 개진해달라고 요청하는 이메일이 대량으로 정부기관과 국책연구기관에 발송되자 해당 이메일의 발신자 계정에 대해 압수수색 영장을 발부받아 발신지를 추적하는 등 수사를 벌이고 있다.

강 청장은 “범인을 잡는 것이 최우선 목표이고, 범인이 우리가 못 잡을 곳에 있으면 누가 범행을 저질렀는지를 밝히겠다”고 말했다.

연합뉴스