[단독]고려대 정보보호대학원 해킹, 북한 소행 확인

대학측 “대만에 서버 둔 北계정서 악성 e메일 발신”육사 동기들에 해킹 e메일 보낸 조직과 동일 세력

고려대 정보보호대학원 e메일 계정에 대한 해킹 사실을 보도한 지난해 11월 16일자 본보 A1면.

지난해 발생한 고려대 정보보호대학원 e메일 계정에 대한 해킹 시도는 대만에 서버를 두고 있는 북한 계정에서 시작된 것으로 드러났다. 그동안 북한 소행으로 추정돼 오던 것이 처음 사실로 확인된 것이다.

16일 고려대 관계자는 “국방부와 국가정보원에서 사전에 파악하고 있던 북한의 해외 계정 중 한 군데서 문제의 e메일이 최초 발신된 사실을 확인했다”며 “사건 발생 직후 우려했던 대로 북한이 정보를 빼내기 위해 해킹을 시도한 것으로 결론 내렸다”고 밝혔다.

고려대 정보보호대학원은 지난해 11월 대학원 내부 e메일 계정을 이용해 악성코드가 담긴 e메일이 졸업생 50여 명에게 집단 유포된 사실을 확인하고 국정원, 국방부와 함께 합동 조사를 벌여왔다. 발신지를 역추적한 결과 문제의 e메일은 북한이 평소 사용하던 대만 내 서버에서 보내진 것으로 확인됐다. 북한은 중국 대만 홍콩 러시아 등 해외 국가에 수백 개의 서버를 점령하고 있으며 주로 북한 인민무력부 산하 정찰총국 내 해킹부대원들이 추적이 어렵도록 이 서버들을 수차례 경유하는 방식으로 해킹을 시도해 오고 있다.

특히 이번 해킹 시도는 지난해 5월 육군사관학교 동기들에게 집단 해킹 e메일을 보냈던 조직과 같은 조직에서 벌인 것으로 드러났다. 지난해 5월 육사 출신 장교 60여 명에게 악성코드가 담긴 e메일이 집단 전송되는 사건이 발생하자 국방부는 발신지를 역추적한 결과 “지난해 3·4 디도스 공격 당시 북한에서 사용한 중국 소재 IP와 같다”고 밝혔다.

대학원 관계자는 “상대적으로 버전이 낮은 ‘한글 2002’를 이용해 악성코드가 제작된 점, 다음 한메일 계정을 이용해 e메일이 전송된 점 등으로 미뤄 볼 때 동일 조직의 소행인 것으로 보인다”고 설명했다.

문제의 악성코드는 PC를 감염시켜 사용자가 e메일로 주고받은 자료를 빼낼 수 있지만, 다행히 당시 e메일을 받은 졸업생 모두 파일을 열어보지 않은 데다 악성코드 자체에도 제작 결함이 있어 제대로 작동되지 않아 감염에 따른 2차 피해는 없었다. 당시 악성코드를 분석했던 대학원 관계자는 “악성코드가 한글 2002 버전을 기준으로 제작돼 호환성에 문제가 있었다”며 “북한 해킹 세력도 한국 정부기관이 한글 2002 버전을 쓰는 경우가 많다는 걸 알고 일부러 한글 2002를 이용해 악성코드를 만든 것으로 보인다”고 설명했다.

학교 측은 별도로 사용하던 대학원 e메일 서버는 폐쇄하고 상대적으로 방화벽 및 보안관리가 잘돼 있는 고려대 계정으로 통합한 상태다. 해킹 시도가 발생한 뒤로 서버 모니터링을 강화하고 내부 인력을 대상으로 한 보안교육도 늘렸다.

국내 한 보안업계 관계자는 “최근 북한 해킹부대에서 제작하는 방식의 악성코드 샘플들이 국내에서 잇따라 발견되고 있다”며 “북한의 조직적인 해킹에 맞설 사이버 공격 및 방어 수단 확보가 시급하다”고 지적했다.

김지현 기자 jhk85@donga.com