‘스피어 피싱’ 방식으로 문서·로그기록 1천200건 빼내

탈북자 단체 대표가 북한의 소행으로 추정되는 해킹 공격을 받은 사실이 확인됐다.

경찰청 보안국은 11일 “탈북자 단체인 겨레얼통일연대 대표 장세율씨가 이메일을 통해 자신의 PC에 저장된 정보가 누출되는 해킹 피해를 당한 사실을 확인했다”고 밝혔다.

앞서 장씨는 지난달 말 기자회견을 열어 자신이 북한으로부터 해킹당하고 있다고 주장한 바 있다.

경찰에 따르면 장씨는 4월과 5월, 11월 세 차례에 걸쳐 이메일을 통해 해킹 공격을 당했다.

해커는 국방대 교수, 서울 모 대학 정치대학원 교수, 안전행정부 등 이메일 발신자의 명의를 도용했다.

이메일에는 ‘연구과제형식.hwp’ 등의 한글 첨부파일이 딸려 있었고 4월과 5월 발송된 메일을 장씨가 열어보는 순간 첨부파일에 숨어 있던 악성코드가 장씨의 PC에 심어졌다.

해킹으로 인한 악성코드가 발견된 PC는 장씨 사무실과 자택에 있는 PC 2대이며, 장씨의 스마트폰에서는 악성코드가 나오지 않았다.

악성코드는 장씨의 PC에 저장된 정보를 미국의 서버로 옮기고 장씨의 PC에서는 그 정보를 삭제했다.

해커가 빼간 정보는 장씨가 작성한 각종 문서와 로그 기록 등 1천200건으로 파악됐다. 장씨는 PC에서 북한 군사와 관련한 문서를 작성하기도 했지만 유출된 정보에는 장씨의 개인적인 내용도 섞여 있었다.

11월에 받은 이메일은 장씨가 첨부파일을 열지 않아 피해는 없었다.

해커가 접속한 IP 주소는 중국 베이징(北京)에 있으며, 미국의 서버는 경유지로 이용된 것으로 확인됐다.

이와 같은 해킹은 작살(spear)로 특정인물을 겨냥해 정보를 빼간다고 해서 스피어 피싱(Spear Phishing)이라고 불린다.

스피어 피싱이라는 고급 해킹 기술이 이용된 점, 해커가 중국 IP를 사용한 점, 탈북자 대표를 상대로 범행이 저질러진 점 등을 고려했을 때 이번 해킹은 북한의 소행으로 추정된다고 경찰은 밝혔다.

해커가 장씨의 PC 내 정보를 빼가는 데 그치지 않고 삭제를 해 해킹 사실을 드러낸 데 대해 경찰 관계자는 “여러 정황상 이번 범행이 북한의 소행으로 보이는데, 북한이 장씨에게 경고의 메시지를 준 것이 아닌가 생각한다”고 말했다.

장씨는 북한의 전자전 인력 양성소로 알려진 ‘미림대학’ 출신으로서 2008년 탈북했다.

겨레얼통일연대는 2010년 9월 결성됐으며, 홈페이지를 통해 북한정보 수집 및 분석, 전파 등의 역할을 한다고 홍보하고 있다.

연합뉴스