한미연습 기간 노렸다…'연말정산' 메일까지 보낸 北 김수키

사진 경기남부경찰청

한미 연합 군사연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원 B씨는 지난 2월 ‘연말정산 공제신고서’라는 제목의 메일을 받았다. 메일 작성자는 본인을 세무법인 C사의 서울지점 담당자라고 소개하며 “B씨가 (제출한) 자료에 뭔가 오류가 생겨서 직접 확인해야 할 부분이 있어서 메일을 보냈다”고 썼다. 메일은 “보낸 문서 중 국민건강보험료 부분에 대해 확인을 해달라. 초안 파일이라 PC에서만 열린다. 잘 열리지 않으면 알집 설치를 부탁한다”며 다운로드 받을 수 있는 알집 파일을 첨부하고 8자리 숫자 암호도 함께 보냈다. A사 직원 여러 명이 같은 내용의 메일을 받았다.

공격에 사용된 악성코드가 심어진 메일 내용. 경기남부경찰청

━

사칭 메일 보내 악성코드 심고 정보 빼내

경기남부경찰청 안보수사과는 이 이메일을 보낸 것이 세무법인이 아니며 북한 해킹조직인 ‘김수키(Kimsuky)’의 소행이었다는 점을 알아냈다고 20일 밝혔다. 한미연합연습을 노려 사이버 공격을 시도한 것이었다. 김수키는 북한 정찰총국 산하의 해킹조직으로 2012년경부터 사이버 공격을 전개했다. 2014년 한국수력원자력 해킹 사건으로 크게 유명해진 해킹 그룹이다.

지난해 4~8월 국내 외교·안보 분야 관계자 150여명에게 대량 유포된 ‘피싱 메일’과 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일도 김수키의 소행이라는 것이 정보당국의 분석이다. 정부는 지난 6월 2일 김수키를 독자 대북 제재 명단에 올렸다.

정근영 디자이너

김수키는 주로 기자나 학자, 싱크탱크 연구원, 사법기관, 포털사이트 관리자 등을 사칭해 범행하는 것으로 알려졌다. 첨부파일 등을 내려받게 해 악성코드를 컴퓨터에 심은 뒤 원격조정 등을 통해 개인정보 등을 빼내는 방식이다. 김수키는 최근 코인 거래소 및 투자와 관련된 내용으로 위장한 악성 코드를 유포하고 있다. 안랩에 따르면 ‘위**월렛 자금 자동 인출.docx’ ‘위**팀-월렛해킹 공통점.docx’ ‘20230717_030190045911.pdf’ 등 코인 관련 내용으로 위장한 악성 코드가 실행 파일 및 워드 문서 형식으로 유포되고 있다. 정상 문서 같지만 실행하면 악성 코드가 실행돼 사용자의 개인 정보가 유출될 위험이 있다.

━

연말정산 기간 노려 ‘원천징수영수증 오류’ 메일

김수키는 지난 연말정산 마감일이 지난 2월이라는 점도 고려했다. ‘원천징수영수증’을 위장해 악성코드가 심어진 메일을 한미연합연습 전투모의실에 파견된 A업체 직원들에게 발송했다. 조사 결과 김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 것으로 드러났다. 지난 1월 A사 소속 직원의 메일 계정을 탈취해 컴퓨터에 악성코드를 심는 데에 성공했다. 이후 원격 접속을 통해 A사의 업무진행 상황과 직원들의 개인정보 등을 빼낸 것으로 경찰은 보고 있다.

북 해커 '김수키' 공격 개요도. 경기남부경찰청

메일을 보낸 사람이 소속돼 있다고 밝힌 세무법인 C사는 실제로 A사가 거래하는 세무법인이었다. 보낸 사람의 이름도 세무법인 C사에 소속된 직원의 이름이었다고 한다. 이에 메일을 받은 A사 직원들은 첨부된 파일을 실행하려고 했지만, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 보안시스템에 의해 해당 파일이 열리지 않았다. 경찰도 군 관련 정보가 김수키 측에 흘러 들어가진 않은 것으로 보고 있다. 그러나 일부 직원들이 해당 메일을 개인 메일 계정으로 재전송해 열람하면서 개인용 컴퓨터가 악성코드에 감염된 사례가 나왔다고 한다.

지난 3월 미군 측으로부터 “보안시스템에 악성코드가 접속하려고 한 기록이 있다”는 신고를 받은 경찰은 미국 수사기관과 함께 공동 수사에 착수했다. 이 과정에서 해킹 공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 한국수력원자력 해킹 사건과 동일하다는 것을 확인했다. 해당 메일을 받은 일부 직원이 문의하는 과정에서 받은 답장 메일에 ‘념두(염두의 북한어)’ 등 북한식 어휘가 사용된 사실도 확인했다.

북한식 어휘 문구인 ‘념두’가 포함된 메일. 경기남부경찰청

━

주한미군 한국인 근무자에게도 사칭 메일…수사 중

경찰은 해당 메일이 한미연합연습 시기(3월 13~23일)에 맞춰 전달됐고 김수키의 기존 공격과 수법이 비슷한 점 등을 종합해 이번 사건도 김수키의 소행으로 결론지었다. 경찰과 미군 수사당국은 A사의 공용·개인용 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 완료하고, 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안교육을 했다.

경찰은 한미연합 군사연습 ‘을지 자유의 방패(UFS·8월 21~31일)’를 한 달 앞둔 지난 7월 미 육군 인사처를 사칭한 메일이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인하고 미국 수사당국과 공조수사하고 있다. 경찰 관계자는 “주한미군 한국인 근무자들이 받은 메일도 비슷한 방법으로 개인용 컴퓨터가 해킹돼 개인정보가 유출된 것으로 보고 있다”며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나가겠다”고 말했다.

최모란·장서윤 기자 choi.moran@joongang.co.kr