(연합=박성민 기자) 경찰이 청와대 등 주요 국가기관을 사칭해 정부기관이나 연구기관에 대량으로 발송된 이메일 사건이 북한 해커 조직의 소행인 것으로 확신한다고 밝혔다.

강신명 경찰청장은 15일 오전 서대문구 미근동 경찰청사에서 기자간담회를 하고 "이 사건이 북한 해커 조직에 의해 자행됐음을 확신하는 단계에 이르렀다"며 중간 수사 결과를 전했다.

경찰은 지난달 중순 청와대와 외교부, 통일부를 사칭해 북한 4차 핵실험에 대한 의견을 개진해달라고 요청하는 이메일이 정부기관·국책 연구기관 등에 대량으로 발송되자 발신자 계정을 압수수색하고 발신지를 추적하는 등 수사를 벌여왔다.

강 청장은 이 사건을 북한 해커조직 범행으로 확신하는 근거로 우선 이메일이 발신된 IP가 2014년 북한 해커 소행으로 추정된 '한국수력원자력 해킹 사건'과 동일한 지역인 중국 랴오닝(遼寧)성 대역으로 확인된 데다 북한 접경지역인 랴오닝성 IP를 북한 영토에서도 무선으로 쓸 수 있다는 게 과학적으로 증명됐다는 점을 들었다.

한수원 해킹 사건 당시 사용된 계정과 똑같은 계정 2개가 이번 사건에 활용된 점도 수사에서 확인했다고 강 청장은 밝혔다.

아울러 메일에 나오는 우리나라에서는 잘 사용하지 않는 문구를 국내 한 대학의 북한언어학자에게 의뢰해 분석해보니 모두 북한에서 사용되는 표현이라는 점도 드러났다.

이유를 '리유', 이발소를 '리발소', 오류를 '오유', 1페이지를 '1페지' 등 메일에 나오는 문구가 북한에서만 사용되는 언어라는 것이다.

또 사칭 메일을 수신한 사람들을 조사해보니 대부분이 우리나라 연구소 등에서 북한 관련 업무에 종사하는 사람으로 밝혀졌다.

경찰은 해당 이메일이 한수원 해킹 사건 이후인 지난해 6월부터 발송되기 시작해 총 759명에게 보내진 것으로 확인했다.

경찰은 이 가운데 460명의 직업을 확인했으며 이 가운데 북한과 관련된 직업에 종사하는 사람이 87.8%에 달한다고 전했다. 이 가운데 메일에서 요청한 북한 핵실험 관련 의견을 회신한 이는 35명이었다.

강 청장은 "이런 결과를 봤을 때 우연의 일치라고는 볼 수 없는, 고의적·의도적으로 타겟팅을 설정한 흔적이 나왔다"고 설명했다.

이러한 사칭 이메일로 인해 국가 안보상 중요한 비밀 자료가 탈취당하는 등 중대한 피해는 확인되지 않았다고 강 청장은 전했다.

경찰은 다만, 이번 사건 범인들이 대형 포털사이트의 '비밀번호 변경고지'를 가장한 '피싱 메일'을 보내기도 했는데 이 과정에서 불가리아 등 유럽의 2개국의 서버를 활용한 흔적을 확인하고 향후 국제 공조수사를 벌일 방침이다.