강 청장은 이날 기자간담회에서 “이메일이 발신된 IP 주소가 중국 랴오닝(遼寧)성 대역이었는데, 압록강과 접경한 북한 지역에서도 이들 IP를 충분히 쓸 수 있다는 것이 과학적으로 증명됐다”며 이같이 말했다.
또 2014년 한국수력원자력 해킹 사건 때 사용된 것과 똑같은 계정 2개가 이번에 재차 활용된 점도 경찰이 이번 사건을 북한 해커의 소행으로 판단하는 근거가 됐다. 한수원 해킹 당시 정부합동 수사단은 북한 소행으로 결론낸 바 있다.
이번 이메일에서는 ‘년말(연말)’, ‘리론적(이론적)’, ‘오유(오류)’, ‘페지(페이지)’처럼 국내에서는 잘 사용하지 않는 북한식 용어가 다수 발견됐다고 경찰은 설명했다.
경찰은 지난달 중순 청와대 국가안보실과 외교부 등을 사칭해 북 핵실험에 대한 의견을 개진해 달라고 요청하는 이메일이 정부기관·국책 연구기관 종사자들에게 대량으로 발송되자 수사를 벌여 왔다.
조사 결과 해당 이메일은 핵실험 이전인 지난해 6월부터 모두 759명에게 보내졌으며, 직업이 확인된 460명 중 87.8%(404명)는 북한 관련 업무에 종사하고 있는 것으로 드러났다. 이번 이메일이 무작위로 보내진 것이 아니라 국가안보 관련 정보를 빼내기 위해 수신자를 ‘타깃팅’한 것으로 경찰은 보고 있다.
경찰은 압수수색 영장을 통해 확보한 메일 첨부파일 66개를 정밀 분석한 결과 20개의 파일에서 악성코드가 발견됐다고 밝혔다. 경찰은 그러나 핵실험 관련 의견을 회신한 35명 중 악성코드 감염 또는 안보기밀 유출 등의 피해를 본 사람은 아직 없었다고 덧붙였다.
유태영 기자 anarchyn@segye.com
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]