통일부 기자단 공격 계정, 이미 작년 한국기관 주의 권고 받아

워싱턴-이경하 rheek@rfa.org
2019-01-10
이메일
댓글
Share
인쇄
한국 통일부 기자단에 지난 7일 보낸 악성코드 이메일은 북한과 연관된 것으로 추정된다.
한국 통일부 기자단에 지난 7일 보낸 악성코드 이메일은 북한과 연관된 것으로 추정된다.
RFA PHOTO

앵커: 최근 한국 통일부 기자단을 공격한 해커가 사용한 이메일 계정은 이미 지난해부터 한국 관계 기관이 ‘보안권고문’을 통해 주의를 당부했었던 계정이란 사실이 뒤늦게 확인됐습니다. 이경하 기자가 보도합니다.

한국 통일부 기자단에 지난 7일 악성코드 이메일을 보낸 북한과 연관된 것으로 추정되는 해커가 실제 사용한 ‘구글’(Google)의 지메일(gmail) 계정인 ‘countine.protector.mail@gmail.com’가 이미 지난해에도 구글의 관리자라고 사칭해 피싱, 즉 개인정보를 불법적으로 알아내려는 이메일을 보냈던 것으로 확인됐습니다.

한국 전라북도교육청 미래인재과의 인터넷 홈페이지에 게시된 ‘보안권고문’.
한국 전라북도교육청 미래인재과의 인터넷 홈페이지에 게시된 ‘보안권고문’. RFA PHOTO

자유아시아방송(RFA)이 10일 한국 전라북도교육청 미래인재과의 인터넷 홈페이지의 게시된 ‘보안권고문’(링크)에 나온 해커 지메일 주소 9개 목록을 확인한 결과, 최근 통일부 기자단에게 사이버 공격을 감행한 이메일 주소(countine.protector.mail@gmail.com)와 동일한 주소가 발견됐습니다. (사진참고)

이 ‘보안권고문’은 한국 교육부 산하 ‘교육사이버안전센터’(ECSC∙Education Cyber Security Center)가 지난해 4월30일 공지했던 ‘구글 관리자 사칭 피싱메일 유포 주의 권고’란 제목으로 한국의 각 시도별 교육청과 대학 등 교육 기관에 전파한 문서입니다.

북한 소행 추정 해커가 2017년9월 ‘구글 관리자’를 사칭한 화면. 최근 통일부 기자단에게 사이버 공격을 감행한 이메일과 주소가 같다.
북한 소행 추정 해커가 2017년9월 ‘구글 관리자’를 사칭한 화면. 최근 통일부 기자단에게 사이버 공격을 감행한 이메일과 주소가 같다. RFA PHOTO

자유아시아방송이 10일 입수한 북한 소행 추정 해커가 2017년9월 ‘구글 관리자’를 사칭한 화면에서도, 최근 통일부 기자단에게 사이버 공격을 감행한 동일한 이메일 주소(countine.protector.mail@gmail.com)가 등장합니다. (사진참고)

 

북한 소행 추정 해커는 이미 2017년 9월부터 이 지메일 계정을 쓰고 있었다는 설명입니다.

또 구글 측은 이미 이 계정이 특정 국가 정부의 지원 받는 공격에 쓰인 계정이라는 사실을 미리 알았던 것으로 파악됐습니다.

구글이 수신자에게 보낸 경고문.
구글이 수신자에게 보낸 경고문. RFA PHOTO

실제 구글은 사이버 공격을 감행한 계정(countine.protector.mail@gmail.com)으로부터 이메일을 받은 수신자에게 “특정 국가 정부의 지원을 받는 공격자가 비밀번호를 도용하려고 할 수 있다”고 경고했습니다. (사진참고)

국립외교원장을 사칭한 이메일 주소 ‘4025l02@hanmain.net’에 대한 보안권고문.
국립외교원장을 사칭한 이메일 주소 ‘4025l02@hanmain.net’에 대한 보안권고문. RFA PHOTO

아울러 지난해 11월 한국에서 논란이 됐던 한국 차관급 외교공무원인 국립외교원장을 사칭한 이메일 주소 ‘4025l02@hanmain.net’도 지난해 10월8일 부산대학교 정보전산원이 올린 ‘민간자문위원 대상 해킹메일 유포 주의’란 ‘보안권고문’에서 동일하게 발견됐습니다. (사진참고)

‘국가정보원 국가사이버안전센터’(NCSC)가 발송한 보안권고문.
‘국가정보원 국가사이버안전센터’(NCSC)가 발송한 보안권고문. RFA PHOTO

이 ‘보안권고문’의 출처는 ‘국가정보원 국가사이버안전센터’(NCSC)로 돼 있고, “국가∙공공기관∙공무원을 사칭해 자문위원회 위원들에게 해킹 메일이 발송됐다”며 주의를 당부하고 있습니다.(왼쪽 사진)

이렇게 지난해 ‘교육사이버안전센터’와 ‘국가정보원 국가사이버안전센터’가 ‘보안공고문’을 통해 해당 계정의 주의를 당부했지만, 최근 북한 소행 추정 해커가 지난해에 이어 또다시 해당 이메일 계정(countine.protector.mail@gmail.com)으로 통일부 기자단에게 악성코드 이메일을 배포하고 국립외교원장을 사칭한 이메일 주소(4025l02@hanmain.net)로 재차 사용된 것입니다.

다시 말해, 이미 한국 기관들과 구글이 북한과 연계된 것으로 추정되는 해커의 이메일 계정을 인지하고 있었지만, 이 해커들이 최근 또 다시 같은 계정으로 사이버 공격을 감행했고 피해가 발생한 것입니다.

한국 기관들이 북한 추정 해커가 사용했던 해당 계정을 구글 측에 폐쇄 조치 요구 후 폐쇄시켰는지, 아니면, 구글이 해당 계정을 폐쇄시켰지만 북한 추정 해커가 다시 개설했는지 또는 복구한 것인지는 알 수 없습니다.

하지만 동일한 계정으로 악성코드가 담긴 이메일이 또다시 보내졌다는 점은 지적될 수 있습니다.

한편, 한국 교육부 산하 ‘교육사이버안전센터(ECSC)’는 ‘국가정보원 국가사이버안전센터’(NCSC)로부터 관련 사이버 공격 위협 정보를 공지받는 것으로 알려졌습니다.

원본 사이트 보기