북한 ‘김수키’, 한미연합훈련 파견 ‘워게임’ 업체 직원 해킹 시도

게티이미지뱅크

북한 해킹조직 김수키(Kimsuky)가 한미연합연습 전투모의실에 파견된 국내 워게임 운용업체 직원들에게 악성 전자우편을 대량으로 보내 해킹을 시도한 것으로 드러났다.

경기남부경찰청은 올해 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임 운용업체 1곳의 직원들에게 대량 발송된 악성 전자우편 사건을 수사한 결과, 악성 전자우편 발송이 북한 해킹조직 김수키의 소행으로 확인됐다고 20일 밝혔다. 경기남부청은 미군 수사기관으로부터 전투모의실에서 일하는 직원들에게 악성 전자우편이 대량 발송됐다는 정보를 공유 받아 수사를 진행해왔다.

김수키의 악성 전자우편 발송으로 해당 워게임 운용업체 직원들의 일부 개인 자료가 북한에 넘어갔지만, 군과 관련된 정보가 유출된 것은 없는 것으로 파악됐다.

경찰 조사결과 김수키는 미리 전투모의실 파견 근무가 예정된 워게임 운용업체 1곳을 해킹해 업체 전 직원의 신상정보와 업체의 연말정산 관련 자료를 취득했다. 이후 이 자료를 바탕으로 관련 해킹 프로그램을 실제 연말정산 관련 자료인 원천징수영수증으로 위장해 업체 직원들에게 보냈다. 이 연말정산 자료를 다운받아 실행하는 순간 해킹이 이뤄지도록 한 것이다. 경찰은 김수키가 연말정산이 이뤄지는 시기인 2월에 맞춰 해당 파일을 보낸 것으로 보고 있다. 김수키는 지난해 4월부터 이 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했던 것도 이번 조사에서 드러났다.

경기남부청은 이번 공격에 사용된 아이피가 지난 2014년 있었던 한국수력원자력 해킹 사건에서 확인된 아이피 대역과 일치한다는 것을 확인했다. 또 경유지 구축 방법 등 기존 공격과의 유사성, 북한식 어휘인 ‘념두(염두)’ 사용, 한미연합연습 시기에 맞춰 공격한 점 등을 종합 판단한 결과 이번 사건을 김수키의 소행으로 판단했다.

경기남부청과 미군 수사기관은 피해업체의 공용 및 직원 개인 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 했다. 또 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안교육을 진행했다.

이상현 경기남부청 안보수사과장은 “한미 간 유기적인 협업과 선제조치로 주한미군의 자료유출을 예방했다”며 “앞으로도 국가 안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획”이라고 말했다.

한편, 경기남부청은 한미연합 군사연습인 ‘을지 자유의 방패’를 한달여 앞둔 지난 7월 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자에게 발송된 사실을 추가 확인하고 미군 수사기관과 공조 수사를 진행하고 있다.

이승욱 기자 seugwookl@hani.co.kr