警察庁は25日、昨年11月と今年1月に国防部と外交部の脱北団体職員など40人に発送されたウイルスメールのIPアドレスが北朝鮮のものであることが確認されたと明らかにした。警察がメールやコンピュータウイルス制御サーバー、経由サーバーなどを分析した結果、北朝鮮の平壌市柳京洞(ピョンヤンシ・リュギョンドン)のIPから米国所在のサーバーを経由して国内にメールが発送された。ただ、警察は実際のウイルス感染や情報流出などの被害は発生していないと把握している。
今回の攻撃では、ウイルスの実行を誘導するためにメールに崔順実(チェ・スンシル)国政介入事件など最新の話題に言及したのが特徴だ。昨年11月3日、北朝鮮戦略情報サービスセンター代表名義で送られたメールは、「退屈で書きました」という題名で「憂慮される大韓民国」というハングル文書が添付されていた。この時は「陰の実力者」崔順実被告(61)の国政介入事件を明らかにする核心的証拠と見られたタブレットPCが公開された後だった。
ハングル文書作成者の名前は英文で「MalDaeGari」(※校正注、馬の頭の意)。当時、崔被告の娘のチョン・ユラ氏(21)が乗馬特技生で梨花(イファ)女子大学に不正入学したという疑惑が起こった状況を悪用したものとみられる。警察関係者は、「北朝鮮IPを追跡してみると、ポータルニュースにしばしばアクセスした形跡が発見された」とし、「人々の関心が集中する懸案が発生すれば、メールハッキングに利用した」と指摘した。
また、1月3日に統一研究院北朝鮮研究学会から発送されたメールには、「2017年北朝鮮新年辞分析」というハングル文書が添付された。北朝鮮の金正恩(キム・ジョンウン)労働党委員長が新年の辞で「能力不足」に言及した背景をめぐる解釈が錯綜していた時だった。
このため、国家サイバー安全センターは最近、約10の脱北団体の代表と緊急会議を開き、被害状況の把握と対応策を話し合った。メールを通じてウイルスに感染すれば、敏感な脱北者情報が流出する危険性が高いためだ。ある北朝鮮団体代表は、「ハッキングで脱北者ネットワークが明らかになれば、北朝鮮内部告発者まで明らかになる恐れがある」とし、「一方で北朝鮮が自分たちに協力する脱北者を抱き込む可能性もある」と伝えた。
警察は、北朝鮮が分野別専門家や公職者などの名簿を確保し、周期的にアップデートしてハッキングすると見ている。今回のハッキングに使われた柳京洞IPも2013年の3・20サイバーテロや2014年の有名大学病院電算網ハッキングなどに使われた。
朴訓祥 tigermask@donga.com
About Dong-A Ilbo