하태경 “의원실 사칭 가상통화 피싱메일 北소행”..보안 전문가 분석

by김현아 기자
2018.02.04 17:37:06

[이데일리 김현아 기자] 하태경 의원(바른정당)이 지난 1일 발견된 하태경의원실을 사칭한 가상통화 피싱메일의 악성코드를 분석한 결과, 북한 소행이라는 증거가 확인됐다고 4일 밝혔다.

하 의원은 해당 메일의 악성코드를 하우리 최상명 실장에게 분석 의뢰한 결과, 이같은 확신을 갖게 됐다고 했다. 암호알고리즘, 악성코드제작자, 해킹유도방식이 동일해 북한 해킹이라는 증거가 확실하다는 것이다.

최근 발생한 ‘하태경의원실 사칭 피싱메일’은 “가상통화 대응에 관한 긴급 현안보고”(국무조정실 작성, 국회상임위원회 및 특별위원회 사이트에 게시돼 있음) 파일을 워드 문서에 복사한 후 매크로 악성 스크립트를 삽입했다.

이후 “비트코인1!”이란 비밀번호 걸어서 압축한 뒤 피해자에게 전송하고, 매크로 컨텐츠 사용을 누르라고 메일 본문에 유도한다.

이용자가 해당 워드 문서 열람 후 매크로를 활성화할 경우, 국내에 있는 “(주)OO산업” 사이트에서 악성코드를 다운로드해 실행한다. 그런데 이 악성코드는 미국에 있는 서버와 통신해 해커의 명령을 받아 여러가지 악의적인 행위를 수행한다.



하태경 의원 측은 ‘악성코드에는 기존에 북한 악성코드에서 주로 사용하는 동일한 암호 알고리즘이 포함돼 있으며, 동일한 문서 작성자에 의한 과거 유사 공격 사례가 많다’고 지적했다.

해커지령 통신 암호 알고리즘이 동일하고, 2015년 11월 국내 방위산업체를 타깃으로 공격한 사건에서의 악성코드 문서제작자(PiterpanN)가 동일하며, 메일 유포방식 역시 글자가 깨지므로 ‘매크로 사용’을 설정해달라고 하거나 이미지가 제대로 나오지 않아 ‘콘텐츠 사용’을 눌러달라고 하는 등 수법도 유사하다는 것이다.

하 의원 측은 “최근 암호통화 해킹 사고 등 북한발 해킹 사건이 폭증하고 있는데도 정부 당국은 항의는커녕 문제제기조차 못하고 있다”며 “대한민국 국회의원을 사칭하여 국민의 소중한 재산을 탈취하려 했던 이 사건은 북한이 국민과 국회를 모독하려는 시도”라고 비판했다.

이어 “이 사건의 엄중함을 계기로 ‘북한해킹규탄결의안’을 발의해 북한해킹의 심각함을 국제 사회에 알리며 초국적 협조를 당부하고 정부의 책임있는 자세를 요구하겠다”고 부연했다.