올 초 박근혜 대통령을 음해하는 내용의 스팸메일이 무더기로 유포된 사건은 북한 해커 소행이라는 경찰 수사 결과가 나왔다.

경찰청 사이버수사과는 지난 1∼2월 발생한 사이버 공격 3건의 발생지를 추적한 결과, 평양 류경동의 인터넷 프로토콜(IP)이 확인됐다고 8일 밝혔다.

지난 1월 27일 박 대통령이 “북한의 핵은 우리 민족의 핵이고 힘입니다”라고 말하는 것처럼 편집된 동영상 링크가 이메일로 3만 8988명에게 전송됐다. 발송 계정은 국내 방송사 2곳의 회사 이메일 계정을 사칭한 것이었다.

지난 2월 18일에는 현직 경찰청 사이버수사관을 사칭한 이메일이 탈북자, 북한 연구자 등 48명에게 발송됐다. ‘대통령 음해 동영상에 대한 국가보안법 수사에 협조해 달라’는 내용과 함께 악성코드를 심은 파일이 첨부된 스팸메일이었다.

앞서 지난 1월 11일에는 국내 한 대학의 북한 관련 학과 교수를 사칭한 이메일이 언론사 기자 등 83명에게 전송됐다. 해당 이메일에는 ‘북핵 문제의 이성적 접근 방식’이라는 이름의 문서 파일에 악성코드를 담은 첨부파일이 있었다.

경찰은 범행에 쓰인 경유 서버와 악성코드 제어 서버 등을 분석해 IP를 역추적한 결과 북한 류경동에서 접속이 이뤄진 사실을 확인했다. 이번에 확인된 북한의 IP는 방송사와 금융기관 전산망이 뚫린 ‘3.20 테러’(2013년)를 비롯해 그간 몇 차례 국내 전산망 공격에 쓰인 주소라고 경찰은 설명했다.

박 대통령 동영상 링크를 담은 이메일 발송은 북핵 정국에 대응하는 대남 심리전의 일환으로, 나머지 2건은 악성코드를 유포해 이메일 계정을 탈취하고 정보를 빼내려는 목적이었던 것으로 경찰은 추정하고 있다. 경찰은 이번 범행에 쓰인 이메일 계정 간 연관성이 확인됐고,첨부파일에 심긴 악성코드의 기능이 같다는 점에서 동일범 소행으로 판단했다.

이번 공격으로 악성코드 감염 등 피해가 발생한 사례는 지금까지 확인된 바 없다고 경찰은 전했다. 경찰은 메일 수신자들에게 비밀번호 변경 등 계정 보호조치를 권유하고,메일 발송에 쓰인 사칭 계정은 포털사이트에 영구 삭제를 요청했다.

온라인뉴스부 iseoul@seoul.co.kr