경찰청 보안국은 최근 특정인을 대상으로 PC 중요정보를 훔쳐내는 지능적인 스피어 피싱 사건이 발생하였고, 이것이 북한 소행으로 추정되어 이메일 수신시 각별한 주의를 당부한다고 밝혔다.
 
※ 스피어 피싱 : 작살(spear)처럼 특정인물을 겨냥해 기밀정보를 탈취해가는 범죄행위, 지인이나 업체에서 발송한 것처럼 위장된 이메일 수신시 PC자료가 해킹됨
 
이메일 해킹사건 개요
 
북한이탈주민 단체 대표 장 모씨에게 유명한 대학교수의 명의로 이메일이 보내어졌고, 해당 메일을 열고 첨부파일을 클릭하자 PC내에 저장된 개인자료들이 특정사이트로 다운로드되면서 빠져나가고 해당 파일은 삭제되는 사건이 발생하였다.
 
이메일 사건 수사결과
 
2013년 4월 26일, 5월 1일, 11월 27일 등 3차례에 걸쳐 수신된 이메일에 첨부된 한글파일(HWP)은 분석결과 악성코드로 판명 되었으며, 이메일 발신자는 국내 국방대 교수 OOO와 서울 소재 대학교 정치대학원 교수 OOO이름 및 안전행정부 명의를 도용하여 메일을 송신하였고, 각각의 이메일에는 한글 첨부파일이 존재하고, 해당 첨부파일 내에 악성코드가 자료를 탈취한 것이 수사결과 밝혀졌다.
 
악성코드 분석결과
 
첨부된 한글파일에서 발견된 악성코드는 피해자의 컴퓨터에 저장된 최근 파일을 해커가 지정한 외국서버에 전송 후 파일삭제하는 등 중요자료를 수집 후 파손하는 기능이 있으며, 한글 프로그램에서는 보안패치를 적용할 경우 관련 문제는 발생치 않음
 
이 특정 서버는 미국에 위치해 있으며, 해커가 접속한 IP는 중국IP로 확인된 것으로, 해커가 미국의 서버를 경유지로 이용한 것으로 확인되었고, 한글 첨부파일이 “연구과제양식.hwp”와 같이 피해자로 하여금 흥미를 유발하게 하는 제목으로 되어 있어, 이를 클릭할 경우 정보수집을 위한 임시서버로 링크되고 흔적이 없어지는 지능적인 악성코드가 삽입.유포되므로, 일반 사용자가 이메일을 수신할 때에는 각별한 주의가 요망된다.
 
※ 피해자 PC 파일탐색기로 검색시 “연구과제양식.hwp”로 나타나지만, 실제 파일은 “연구과제양식.hwp.lnk”로 이는 특정사이트 바로가기 버튼임
 
특히 해커는 중국 북경 소재 IP를 사용하였고, 북한 관련된 탈북단체를 공격대상으로 한 점, 한글파일에 악성코드를 삽입한 점 등으로 보아, 한글문서의 기능에 대해 세부적으로 많이 알고 있고 국내 탈북자 단체들의 활동에 대한 민감한 자료를 탈취하려는 북한 해커의 소행으로 추정된다.
 
경찰 조치
 
경찰에서는 추가 피해 방지를 위해 한글파일 취약점 보완 및 현재도 접속되고 있는 특정서버의 차단을 위해 관련기관인 KISA(한국인터넷진흥원) 등과 협의하여 조치를 취하고, 악성코드 감염피해가 확산되지 않도록 백신개발을 유도하는 등 유관기관과 긴밀히 협력하겠다고 밝혔다.
 
이메일 수신시 당부사항
 
중요자료가 담겨있는 인터넷 PC에 대해서는 특별한 주의와 중요자료에 대해 백업 등 별도 보관.관리가 필요하다.
 
이메일 수신시 의심되는 첨부파일은 반드시 컴퓨터에 다운로드 저장한 후 백신프로그램으로 감염여부를 체크하도록 하며, 미확인.출처 불분명 이메일은 악성코드로 인한 감염이 우려되므로 확인하지 않고 삭제하는 것이 좋으며 정품 프로그램을 사용하고, 수시로 보안패치를 업그레이드해야 악성코드 감염피해를 막을 수 있다.
 
악성코드로 의심되는 파일을 발견한 경우, 즉시 한국인터넷진흥원 등 관련기관에 즉시 신고하여 추가 피해를 예방해야한다고 밝혔다.