통일부 기자단에 악성코드 메일 배포돼…"北 소행 의심"

통일부 기자단에 북한의 소행으로 의심되는 악성코드가 담긴 메일이 7일 배포돼 정부가 사실관계 확인에 나섰습니다.

이날 오전 1시 20분쯤 통일부를 현재 출입하고 있거나 과거 출입했던 언론사 취재기자 77명에게는 'RE: TF 참고자료'라는 제목의 메일이 일괄 발송됐습니다.

윤 모 씨 명의의 한메일 계정을 통해 전송된 메일에는 'TF 참고.zip'라는 첨부 압축파일과 함께 "TF 참고되시길~~. 언론사별 브랜드 관련해서 관리 잘해주시고~ (비번은 "tf")"라는 설명이 포함됐습니다.

압축파일 안에는 확장자가 각각 pdf인 파일 2개와 hwp인 파일 1개가 들어있었습니다.

통일부는 이 메일에 대해 "통일부나 산하 단체를 통해 발송된 것은 아니고 외부에서 발송된 것으로 파악된다"고 밝혔습니다.

백태현 통일부 대변인은 이날 정례브리핑에서 '이와 관련해 파악한 게 있느냐'는 질문에 "새해 들어서 정부나 통일부를 사칭한 해킹이나 사이버 공격들이 많이 이뤄지고 있다"며 "관련해서 국가사이버안전센터, 경찰청 사이버수사과 등과 긴밀히 협의하면서 대처해 나가고 있다"고 말했습니다.

백 대변인은 "이번 건도 관계기관에 상황을 전파했고 같이 공유하고 있다"면서 "발신자가 확실하지 않은 이런 자료나 이메일에 대해서는 각별히 주의를 당부드린다"고 덧붙였습니다.

IT업체 이스트소프트의 보안 자회사 이스트시큐리티의 문종현 시큐리티대응센터장은 "확장자가 hwp인 파일은 실은 한글 파일이 아닌 실행파일"이라며 "파일을 열면 컴퓨터 내부에서 개인정보를 수집하고 해킹을 시도한다고 보면 된다"고 설명했습니다.

문 센터장은 "최종적으로 생성되는 freedom.dll 등 악성파일의 파일명과 윈도우스크립트파일(wsf)을 통한 공격이라는 점 등을 고려할 때 북한의 소행으로 의심된다"고 말했습니다.

앞서서도 통일부가 작성한 김정은 북한 국무위원장 신년사 평가자료라며 이메일을 보내 PC를 악성코드에 감염시키는 사이버 공격이 최근 발견돼 당국이 수사에 나선 바 있습니다.

이스트시큐리티 산하 시큐리티대응센터(ESRC)는 당시 통일부를 사칭해 '2019 북한 신년사 평가'라는 한글 문서에 지능형지속위협(APT) 유형의 악성코드를 담아 이메일로 유포하는 방식의 사이버 공격이 확인됐다고 밝혔습니다.

또 작년 11월에는 경북하나센터에서 사용하는 PC 1대가 악성코드에 감염돼, 컴퓨터에 저장돼 있던 지역 거주 탈북민 997명의 이름과 생년월일, 주소 등 개인정보가 담긴 자료가 유출됐습니다.

백 대변인은 "(유출과 관련한) 구체적인 피해사례는 아직 없다"며 "이런 일들이 일어나지 않도록 시스템적으로 보다 신속히 강화해 나갈 것"이라고 밝혔습니다.