해킹으로 2兆 훔친 북한 최정예 해커조직, 韓 경찰 조직에 꼬리 밟힌 한 문장

김수키, 작년 국내 외교안보 전문가 메일 계정 탈취
北, 해킹 능력 고도화...작년, 가상자산 2兆 탈취
과거 썼던 IP 주소·해킹 방식·대상 보고 北 소행 특정
랠·적중한 등 북한식 언어 사용 실수도 단서

“○○○교수님, 벌써 6월이 성큼 다가왔습니다.
(중략)
한 가지 교수님께 상의할 사항이 있어서 메일하게 되었습니다.
(중략)
교수님이 적중한 분이라 생각 들어 메일 드리는것이오니 양해 바랍니다.”

작년 국내 한 외교·안보 전문가는 본인을 외교·안보 관련 연구소 연구원이라고 밝힌 사람으로부터 메일 한 통을 받았다. 연구소에서 ‘북한의 외교정책과 한국의 대응’을 주제로 글을 작성 중인데 의견을 달라는 내용이었다.

이 메일은 1년 뒤 북한 정찰총국 산하 해킹조직인 김수키(Kimsuky)가 보낸 것으로 판명됐다. 일견 평범해 보이는 이메일이지만 마지막 문장 속 ‘적중한 분’이라는 표현이 단서가 됐다. ‘적중한’이라는 표현은 적합한 이란 뜻으로 북한에서만 쓴다.

김수키가 새 정부 출범 전후인 작년 4~8월 전현직 고위 공무원, 대학교수, 외교·통일·안보·국방 전문가 150명에게 사칭 메일을 보내 9명의 메일을 실시간으로 훔쳐보고 첨부 문서와 주소록을 빼간 사실이 경찰 수사 결과 7일 드러났다.

북한의 사이버 해킹 능력은 특히 금융 분야에서 세계 최고란 평가를 받을 정도로 급성장해 블록체인 데이터 분석업체 체이널리시스에 따르면 작년 한 해 동안 17억달러(2조2000억원)의 가상자산을 탈취한 것으로 추정된다. 전 세계 피해 금액의 45%에 달한다.

우리 수사당국 역시 사이버 보안 능력을 고도화하는 가운데, 해킹이 발생했을 때 북한의 소행임을 확인하는 근거로 ▲공격에 사용한 IP 주소 ▲공격 대상 ▲공격 방식과 함께 ‘북한식 언어 사용’ 여부를 주시하고 있다.

그래픽=손민균

◇ 北 해킹조직, 조언 구하는 척 메일 보낸 뒤 계정 탈취

2012년 본격적인 활동을 시작한 김수키는 북한 정찰총국 산하 또 다른 해킹조직인 라자루스, 물수제비천리마, 블루노로프, 블랙알리칸토, 코페르니슘 등과 달리 ‘정보 수집’을 주요 목적으로 한다는 특징이 있다. 김수키는 한국, 미국, 일본 등 주요국의 대북 정책 관련 정보를 수집하고 북한에 유리한 방향으로 여론전을 펼치는 것을 목표로 한다. 최근 가장 활발히 활동하고 있어 이달 2일 우리 정부가 세계 최초로 대북 독자 제재 대상으로 올리기도 했다.

김수키의 해킹 방식은 사회공학 기법 중에서도 ‘스피어피싱(spearphishing)’이다. 사회공학 기법은 사회적 관계와 신뢰를 이용해 사람을 속여 비밀을 탈취하는 것이다. 그중 스피어피싱은 대상을 특정해 작살(spear)로 찍어내듯 정교하게 접근해 피싱하는 것을 말한다. 해당 인물의 소속과 업무 등 세부 정보 파악이 필수다.

이번에 김수키가 150명을 해킹 시도했던 방식은 ①서버 관리가 취약한 국내 중소기업 등의 서버를 해킹해 138개 서버를 장악한 뒤 ②IP를 숨기기 위해 여러 경유지를 거쳐 ③국내 외교·안보 연구원을 사칭해 도움을 요청하는 메일을 1차로 보내고 ④답신이 오면 첨부파일이나 링크를 클릭하도록 유도하고 ⑤첨부파일을 열려면 본인 인증이 필요하다며 아이디와 비밀번호를 입력하도록 해 계정 정보를 탈취했다.

수사당국은 김수키가 1차로는 악성코드가 없는 ‘무해한’ 메일을 보내고, 계정을 탈취해 소기의 목적을 달성하고도 상대방이 안심할 수 있도록 감사 답장을 발송하는 등 기술이 정교해진 점에 주목했다. 이런 치밀한 접근 방식 때문에 대다수 피해자는 자신이 피해를 당했다는 사실조차 알지 못했다. 개인정보를 넘긴 9명도 2~4개월간 그 사실을 몰랐다.

가령 첫 번째 이메일 때는 ▲외교정책 관련 질문에 응답해달라고 요청하거나 ▲설문조사, 인터뷰, 문서 검토 등을 해달라고 하거나 ▲이력서 송부 요청(채용 제안) ▲연구물 작성에 대한 보수 지급 제안을 한다고 한다. 이때 실재하는 국내 외교·안보 연구소 연구원 이메일 주소를 철자 한두 개만 다르게 해서 보내기 때문에 해킹 시도인지 여부를 판단하기 어렵다고 한다.

◇ 내일을 ‘랠’이라고 쓰는 ‘실수’... “챗GPT 때문에 붙잡기 힘들어질 것”

경찰이 이번 사건을 북한 소행이라고 확정 지은 것은 크게 4~5개 지표가 이전 공격 때와 유사했기 때문이다. 메일을 보낼 때 사용한 IP 주소를 역추적했더니 과거 해킹 때 사용했던 것과 일부 겹쳤다. 북한 정책과 관련해 연구하는 교수나 연구원, 기자 등을 타깃으로 했다는 점, 집요하게 메일을 보내 첨부파일 등을 클릭하게 하는 접근 방식도 과거와 비슷했다.

또 다른 단서는 북한식 언어 사용이다. 경찰은 국가정보원과 합동으로 5800여개의 이메일을 분석했는데 여기서 딱 3개의 ‘실수’가 발견됐다. 서버를 ‘봉사기’라고 쓰고, 내일을 ‘랠’, 적합한 분을 ‘적중한 분’이라고 쓴 것이다. 경찰 관계자는 “북한 해커들이 남한의 구어체를 깜빡 속을 정도로 잘 구사하는데 실수로 쓴 것을 굉장히 어렵게 찾아냈다”고 말했다.

북한 소행으로 보이는 해킹 시도 이메일을 하루 4~5건씩 받는다는 국내 한 외교 싱크탱크 연구원은 최근 이런 작업이 자주 일어나고 집요해졌다고 말했다. 그는 “친중(親中) 학술단체가 갑자기 굉장히 중요한 행사에 초대하거나 줌 미팅에 참가해달라며 링크를 보내기도 한다”며 “챗GPT 등 인공지능이 발전하면서 이제 문장을 부드럽게 쓰는 게 가능해져 해킹인지 파악하기가 더 힘들어질 것”이라고 말했다.

국정원이 지난달 공개한 최근 3년간 북한 해킹조직의 사이버 공격 및 피해통계’에 따르면, 북한의 사이버 공격 중 74%가 이메일을 악용하는 방식이다. 상대방이 의심 없이 읽도록 메일 서비스를 운영하는 네이버와 다음을 사칭하는 경우가 많았다. 발신자를 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’로 쓰거나 발신자 이메일 주소를 navor나 daurn으로 표시해 이용자가 오해하도록 했다.

국정원과 경찰은 이메일을 열람할 때 보낸 사람 앞에 붙어있는 ‘관리자 아이콘’, 이메일 주소, 메일 본문의 링크 주소 등을 점검하라고 당부했다. 또 메일 무단열람 방지를 위해 ‘2단계 인증 설정’을 할 것을 권고했다. 누군가 아이디와 비밀번호를 알고 있더라도, 휴대전화 인증 등을 통해 2단계 보안 인증을 해야 접속이 가능하도록 보안을 강화하라는 것이다.

- Copyright ⓒ 조선비즈 & Chosun.com -