청와대 사칭 이메일 대량 유포..2014년 한수원 해킹 동일

이메일 계정 압수수색 결과 발신지 IP 한수원 해킹 때 같은 곳

[한강타임즈 김영호 기자] 최근 공공기관을 중심으로 청와대·정부기관을 사칭해 대량 유포됐던 이메일의 발신지가 2014년 한국수력원자력 해킹사건 당시와 같은 발신지로 드러났다.

최근 공공기관을 중심으로 대량 유포됐던 청와대·정부기관 사칭 이메일의 발신지가 2014년 한국수력원자력 해킹사건 당시 이메일 발신지와 동일한 것으로 드러났다.

강신명 경찰청장은 18일 오전 서울 서대문구 경찰청사에서 기자들과 만나 "지난 주말 해당 이메일 계정을 압수수색한 결과 발신지 IP가 중국 요녕성이라는 지역의 IP로 한수원 해킹 때와 같은 곳이었다"고 밝혔다.

강 청장은 "반드시 그렇다는 건 아니지만 당시 한수원 사건에서 활용됐던 IP 대역과 동일한 대역에서 발송됐음이 확인됐다"며 "앞으로 수사를 확대해 정확히 어디서, 누가 발송했는지 규명해 범인을 잡도록 할 것"이라고 강조했다.

경찰에 따르면 해당 메일은 정부기관과 연구기관 등에 전달된 것으로 알려졌다. 주로 북한 4차 핵실험과 관련해 의견을 개진해달라는 취지와 회신을 요구하는 내용이 담겼다.

이후 경찰은 청와대 국가안보실 명의로 1건, 실제하지 않는 청와대 외교안보실 명의 1건, 통일부 통일정책실 1건, 외교부 정책관실 1건 등 총 4건의 악성 이메일을 확인, 해당 계정에 대한 압수수색을 실시했다.

강 청장은 "해당 메일은 2단계 스미싱 메일"이라며 "이를 받았다해서 감염되는 것이 아니라 답장을 하면 악성코드가 담긴 메일을 보내는 유형"이라고 설명했다.

피해규모에 대해서는 "피해가 크진 않을 것으로 본다"며 "중간수사결과 발표와 함께 공개하겠다"고 덧붙였다.

한수원 해킹사건은 2014년 12월9일~12일 한수원 직원 3571명에게 총 5986통의 악성코드가 담긴 이메일을 발송돼 PC 하드디스크 등에서 원전 설계도면 등 내부자료 유출된 사건이다. 당시 직원 PC 8대가 감염됐고 이중 5대의 하드디스크가 초기화되는 피해가 발생했다.

당시 수사를 맡은 개인정보범죄 정부합동수사단은 한수원 해킹사건을 북한의 소행으로 결론지은 바 있다.

해킹에 사용된 악성코드 및 인터넷 접속 IP 등을 분석한 결과 북한 해커조직이 사용한 것으로 알려진 악성코드와 구성·동작 방식이 거의 비슷한 점, 접속 IP 중 북한 관련 IP가 발견된 점 등을 근거로 제시했다.