청와대 등 주요 국가기관을 사칭해 공공기관과 연구기관에 대량으로 발송된 이메일 발신지가 2014년 북한 해커의 소행으로 추정된 '한국수력원자력 해킹 사건'과 동일한 지역인 것으로 드러났다.
18일 강신명 경찰청장은 서대문구 미근동 경찰청사 언론 간담회에서 "해당 이메일 발신자 계정에 대해 압수수색 영장을 발부받아 추적을 해보니 IP가 중국 랴오닝(遼寧)성의 대역으로 확인됐다"고 밝혔다.
이어 "이번에 사칭 이메일이 발송된 IP는 특히 한수원 해킹 사건 때 활용된 IP 구역과 정확히 일치했다"고 말했다.
'원전 가동중단 협박', '원전도면 유출 사태' 등 2014년 말 한수원 해킹 사건과 관련해 정부합동수사단은 북한 해커 소행으로 판단된다는 수사결과를 발표한 바 있다.
"이번 이메일도 북한 소행으로 추정하나"라는 질문에 강 청장은 "한수원 해킹 사건 때 사용된 IP 대역과 일치한다는 것 이상으로 아직 확실하게 말씀드릴 단계는 아니다"고 덧붙였다.
강 청장은 또 이번에 발송된 사칭 이메일의 성격을 '투트랙 스미싱 메일'로 규정했다.
첫번째 보낸 메일에는 악성코드를 심지 않아 상대를 안심시키고서 수신자가 해당 메일에 대해 답장을 하는 등 반응을 보이면 두번째 보내는 메일에 악성코드를 심어 감염을 유도하는 방식이라는 것.
강 청장은 "한번에 바로 감염되는 게 아니고 그것을 받고 답을 해주면 두번째 악성코드 심은 것을 보내는 유형"이라며 "이 때문에 이번 사칭 이메일로 인한 피해는 그리 크지 않거나 아예 없을 것으로 추정된다"고 설명했다.
지난 13일과 14일 청와대와 외교부, 통일부를 사칭해 북한 4차 핵실험에 대한 의견을 개진해달라고 요청하는 이메일이 대량으로 정부기관과 국책연구기관에 발송됐다. 경찰은 해당 이메일 발신자 계정에 대해 압수수색 영장을 발부받아 발신지를 추적하는 등 수사를 벌이고 있다. <스포츠조선닷컴>