[단독] 北, 통일연구원 사칭해 기자들 해킹… "설문 응답하면 사례금" 계좌 요구도

지난 4일 본지로 보낸 메일을 보면 “통일연구원은 북한연구학회와 함께 ‘한반도 군비경쟁과 평화 정착 방향’을 주제로 연구를 수행하고 있다”며 “본 연구에 사용할 설문조사에 참여할 의향이 있으면 답장을 달라”고 돼 있다.

북한 해커는 통일연구원과 북한연구학회에 실제로 소속된 사람들의 이름을 도용했다. 그러면서 “본 연구에 관한 보호정책에 따라 설문조사지는 조사에 참여할 의향이 있는 사람에게만 이메일로 보내 드릴 것”이라며 “조사에 참여할 의향이 있다는 메일을 보낼 때는 사례금 20만원을 받을 은행 계좌번호도 보내 달라”고 돼 있다. 

확인 결과 이런 메일은 기자들뿐 아니라 국방부 등 안보부처 전·현직 관계자들에게도 보내졌다.

통일연구원 “그런 설문조사 한 적 없다… 보안 조치 취할 것”

그런데 메일 맨 아래에 이상한 대목이 있었다. “[RISTI] 국제민주연구소(NDI) 북한사업 사후평가를 위한 설문”이라는 문구다. 

‘RISTI’는 ‘아이에스티아이 미래연구소’라는 민간연구기관의 약칭이다. 이곳은 국제기구와 협업해 국제개발협력 등 다양한 사회적 주제를 연구하는 곳으로 알려졌다. 또한 ‘NDI’는 미국의 국립민주주의연구소의 약칭으로 주로 사용한다. 통일연구원이 시행하는 설문조사와는 직접적 관련이 없는 연구기관 명칭이 붙은 것이다.

“조사에 참여하고 싶다”고 답장을 보내자 몇 시간 뒤 해커는 “설문조사 참가할 의향이 있다니 감사하다”면서 MS워드로 작성된 파일을 보내왔다. 그러면서 이상한 조건을 달았다. “설문조사에 참가하기에 앞서 본 조사 내용을 누설해서는 안 되며, 설문지는 통일연구원 보안관계로 PC에서만 열람이 가능하다”는 것이었다.

5일 오전 통일연구원 관계자들에게 설문조사 실시 및 메일 발송 여부를 문의했다. 관계자들은 “그런 조사는 시행하지 않고 있다”며 황당해 했다. 통일연구원 측은 “보안부서와 협의해 최대한 빨리 조치를 취하겠다”고 밝혔다.

보안전문가 “전·현직 안보 관계자와 기자들, 각별한 유의 필요”

해커에게 받은 메일들을 보안업체 ‘이스트시큐리티’에 분석 의뢰한 결과 북한 해커의 소행이었다. 이스트시큐리티 문종현 이사는 “이번 해킹은 2단계 스피어피싱”이라고 설명했다. ‘스피어피싱(Spear-Phishing)’이란 특정인을 상대로 정보를 빼내거나 해킹 하는 것을 말한다.

문 이사는 “최근 외교·국방·안보·통일분야의 전·현직 고위 관계자를 겨냥한 공격이 급증했는데, 이번에는 통일연구원을 사칭해 2단계 스피어피싱을 시도한 것”이라며 “1단계에는 해킹용 파일을 첨부하지 않고 설문조사나 학회 세미나에 참석해 달라는 내용을 보내고, 사례비나 거마비 명목으로 돈을 줄 테니 회신해 달라고 유도한다. 그리고 회신한 사람에게만 2단계로 해킹용 파일을 보내는 치밀함을 보인다”며 안보분야 관계자와 기자들의 각별한 주의를 당부했다.

문 이사의 지적처럼 북한은 무작위 해킹보다 특정인을 노린 해킹에 집중하는 모습이다. 지난 7월30일에는 자유북한운동연합 박상학 대표를 사칭한 북한 해커가 “남북경제문화협력재단(경문협) 임종석 이사장의 딸이 사용한 유학·생활비 출처와 대규모 지하자금 증식 관련 의혹과 관련해 중대한 제보를 할 것이 있다”는 해킹 메일을 보내기도 했다.