북 해킹조직 ‘김수키’, 장차관급 노렸다?…기밀은 못 빼내

정권교체기 장차관급 공무원·외교안보 전문가 해킹
책출간 등 의견 묻는 메일 보내…해킹 대상자 속여

게티이미지뱅크.

북한 해킹조직이 정권 교체기인 지난해 4월부터 7월까지 전·현직 공무원 등 국내 안보 전문가 150명에게 ‘피싱 메일’을 보내 해킹을 시도한 정황이 드러났다. 현직 공무원 1명과 전직 장·차관급 공무원 3명 등은 실제 개인정보가 유출됐지만, 새나간 기밀 자료는 없는 것으로 확인됐다.

7일 경찰청 국가수사본부 사이버수사국은 지난해 4월부터 7월까지 외교·통일·안보 주요 관계자를 대상으로 발송된 악성 전자우편 사건을 수사한 결과, ‘김수키’(kimsuky)로 알려진 북한 정찰총국 산하 해킹조직이 악성 전자우편을 발송한 것으로 보인다고 밝혔다. 경찰 수사 결과를 보면, 해당 해킹조직은 국내외 138개 서버를 경유하는 방식으로 아이피(IP) 주소를 세탁한 뒤 전·현직 고위공무원, 대학교수 등 150명에게 통일‧안보 전문가를 사칭한 이메일을 보냈다. 책자 발간이나 논문 관련 의견을 요청한 뒤 피해자가 답장을 보내면 대용량 문서 파일을 보내 다운로드를 유도했다. 이후 해킹조직은 “보안이 강화돼 문서 파일을 열기 위해서는 본인 인증이 추가로 필요하다”며 가짜 피싱 사이트로 연결했다. 이 때 피해자가 인증 요구에 응해 포털사이트 아이디(ID)와 비밀번호를 입력하면 계정 정보를 해킹하는 방식이었다. 해당 조직은 해킹을 완료한 뒤에도 피해자에게 감사 답장을 발송해 범행 의심을 피하기까지 했다.

네이버나 구글을 정교하게 본 딴 피싱 사이트에 속아 자신의 아이디와 비밀번호를 입력한 피해자는 현직 공무원 1명을 포함해, 장·차관급 전직 공무원 3명, 외교·안보 분야 교수 포함한 학계 전문가 4명, 기자 1명 등 모두 9명이다. 해킹조직은 유출된 개인정보로 전자우편 발신·수신함에 남겨진 메일 정보나 주소록 등을 가로채거나, 또 다른 해킹 공격에 악용했지만, 국가 보안과 관련되는 기밀 자료는 없었던 것으로 확인됐다고 경찰은 밝혔다.

사건 개요도. 경찰청 제공 ※ 이미지를 누르면 크게 볼 수 있습니다.

경찰은 공격에 사용한 아이피 주소와 경유지 구축 방법, 공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 이번 해킹이 지난해 5월 태영호 국회의원실 비서 사칭 이메일에 이은 ‘김수키’ 소행으로 판단했다. 메일 등에서 ‘봉사기’(서버의 북한말), ‘랠’(내일의 북한말인 ‘래일’을 줄여쓴 말), ‘적중한 분’(‘적합한 분’을 뜻하는 북한말) 등을 사용한 점도 해당 조직 소행의 근거가 됐다.

경찰은 이 조직이 사용한 국내·외 가상자산 지갑 주소와 거래 현황을 확보해, 금전 탈취 거래 시도 등으로 수사를 확대하고 있다. 박현준 경찰청 첨단안보수사계장은 “‘김수키’ 해킹조직은 정보 탈취 공격에 집중하는 것으로 알려져 있지만, 이번 수사를 통해 공격 서버에서 이들이 사용한 가상자산 지갑 주소를 발견했다. 금전 탈취도 시도하고 있는 것으로 판단하고, 추적 수사를 계속 진행하고 있다”고 말했다.

장나래 기자 wing@hani.co.kr