[공감신문] 지난 1일 ‘하태경의원실’의 이름을 사칭해 가상통화 피싱 이메일을 보내, 수신자에게 악성코드를 심은 배후세력이 북한소행이라는 증거가 드러났다.

4일 바른정당 하태경 의원은 “악성코드 분석 전문가인 최상명 백신업체 실장이 해당 피싱메일을 분석한 결과 해킹방식 북한과 동일한 점을 도출했다”고 밝혔다.

최 실장의 분석에 의하면 북한으로 의심되는 이메일 발신자는 ‘가상통화 대응에 관한 긴급 현안보고’라는 제목의 파일을 워드 문서에 복사한 후 매크로 악성코드를 삽입했다.

이후 ‘비트코인1!’이라는 비밀번호를 걸어서 압축한 후 피해자들에게 전송하고, 매크로 콘텐츠를 사용할 것을 메일 본문에 기재했다. 

만일 해커가 시키는 대로 매크로를 활성화할 경우, 국내의 ‘(주)○○산업’ 사이트에서 악성코드를 다운로드가 된 후 실행된다.

해커의 지시에 따라 활성화된 악성코드는 미국에 있는 서버와 통신을 하며 해커의 명령을 받아 여러 악의적인 행위를 수행하게 된다.

특히 주목할 점은 이번 악성코드에서 기존 북한산 악성코드에서 발견되는 동일한 암호 알고리즘이 포함됐다는 것이며, 같은 문서 작성자에 의한 유사 공격사례라는 점도 비슷하다.

그 예로 이번 피싱메일 첨부파일의 통신암호 알고리즘의 경우 지난 2016년 발생한 국방망 해킹사건과 지난해 9월 경찰이 발표한 ATM 해킹의 알고리즘과 같은 것으로 확인됐다.

악성코드 문서제작자가 동일한 점도 북한의 소행이라는 증거 중 하나다. 이번 악성코드 제작자는 지난 2015년 11월 서울 국내 방위산업체를 타깃으로 공격한 ‘ADEX사칭 메일’의 작성자와 같은 ‘PiterpanN’이다.

또 이메일을 이용한 유포방식이 같다는 점이 증거다. 메일에 ‘글자가 깨지므로 매크로 사용을 설정해 달라’거나 ‘이미지가 제대로 나오지 않으니 콘텐츠 사용을 눌러달라’는 등 수법이 유사하다.

결국 하 의원은 암호알고리즘, 악성코드 제작자, 해킹 유도방식 등의 유사점이 눈에 띄기에 ‘하태경의원실’ 사칭 피싱메일 사건은 북한의 소행이라 결론내렸다.

하 의원은 “암호통화 해킹사고 등 북한발 해킹 사건이 폭증하고 있는데도 정부 당국은 항의는커녕 문제제기도 못하고 있다”며 “대한민국 국회의원을 사칭해 국민의 소중한 재산을 탈취하려 한 이번 사건은 북한이 국민과 국회를 모독하려는 시도”라고 비판했다.

그러면서 “이 사건의 엄중함을 계기로 ‘북한해킹규탄결의안’을 발의하고 북한해킹의 심각함을 국제사회에 알려 초국적 협조를 당부할 것”이라며 “정부는 책임 있는 자세를 지녀야 한다”고 강조했다.