"태영호 의원실 비서입니다" 메일… 北 해킹조직 '김수키' 소행이었다

국내 전문가 892명에 '사칭' 메일 살포 
ID·비번 입력한 49명 피해… 자료 탈취
첫 랜섬웨어 유포 확인... 2곳 금품 건네

제20대 대통령직인수위원회 출입기자를 사칭해 북한 해킹조직 김수키가 국내 외교안보 전문가에게 보낸 이메일. 경찰청 제공

북한 전문가 대학교수 A씨는 4월 28일 ‘뉴스 댓글 요청’이란 제목의 이메일을 받았다. 자신을 제20대 대통령직인수위원회 출입 기자라고 밝힌 발신인은 한미 정상회담 기사 링크를 보내며 “국민 목소리를 경청하고자 한다. 댓글 부탁 드린다”고 했다. A씨는 별 의심 없이 메일에 첨부된 포털사이트 기사 링크를 클릭해 로그인했다. 하지만 해킹 조직이 A씨 아이디와 비밀번호를 알아내려 포털 홈페이지와 똑같이 만든 가짜 사이트였다. 해커는 A씨의 전자우편을 실시간 감시하며 학회ㆍ세미나 발표 자료 등을 빼냈다.

올해 4월 기자, 국내 외교ㆍ안보분야 전문가들에게 이런 ‘피싱 메일’을 보낸 일당이 북한 정찰총국 산하 해킹조직 ‘김수키(Kimsuky)’로 확인됐다고 경찰청 국가수사본부가 25일 밝혔다. 이들은 기자 외에도 5월에는 태영호 국민의힘 의원실 비서를, 10월에는 국립외교원 관계자를 사칭해 악성프로그램이 담긴 메일을 최소 892명의 국내전문가에게 발송했다. 핵심 정보 수집을 위해 광범위한 해킹을 시도한 것으로 추정된다.

---

실제 토론회 사칭 "사례비 문서 보내라"

김수키는 가장 왕성하게 활동 중인 북한 해킹 조직이다. 미리 파악한 특정 정보를 활용해 클릭 유도 이메일을 보내는, 이른바 ‘스피어(Spearㆍ작살) 피싱’ 방식을 선호한다. 2014년 한국수력원자력 원전 도면을 빼돌린 사건으로 존재가 드러났다. 지난해 5월 한국원자력연구원 해킹 공격 역시 김수키 소행으로 파악됐다.

김수키는 이번에도 무차별 해킹을 통해 확보한 26개국 326대(국내 87대) 서버 컴퓨터를 통해 인터넷주소(IP)를 ‘세탁’했다. 이후 해당 IP 주소로 국회의원실, 기자 등을 사칭해 메일을 보냈다. 피싱 사이트로 유도하는 링크나 악성 프로그램도 첨부됐다. 5월에는 태영호 의원실이 개최한 ‘윤석열 시대 통일정책 제언’ 토론회에 참석한 전문가를 특정해 “사례비 지급의뢰서를 작성해달라”는 내용의 메일을 발송하기도 했다. 첨부파일을 클릭하면 악성코드가 깔리는 식이다. 토론회 참석자에게 사례비가 지급되는 사실을 알고 허점을 파고든 것이다.

태영호 국민의힘 의원실을 사칭해 북한 해킹조직이 국내 외교안보 전문가에게 보낸 이메일. 경찰청 제공

메일을 받은 892명 중 49명이 피싱 사이트에 접속해 아이디와 비밀번호 등을 입력했다. 대부분 대학교수나 민간 연구기관 종사자로 국가기관 소속은 없었다. 4월 피해 신고를 접수해 수사에 착수한 경찰은 공격 근원지 IP 주소 및 유지 서버 침입ㆍ관리 수법 등을 근거로 김수키 소행으로 결론 냈다. 경찰 관계자는 “IP 경유지로 쓴 컴퓨터에서 ‘왁찐(백신의 북한말)’과 같은 단어를 사용해 인터넷 검색을 한 기록도 있었다”고 설명했다.

---

국내 첫 北 '랜섬웨어' 공격... 비트코인 갈취

김수키가 국내에서 ‘랜섬웨어’를 유포한 정황도 처음 확인했다. 컴퓨터 데이터에 암호를 건 뒤 해제를 대가로 돈을 요구하는 해킹 수법이다. 김수키는 국내 13개 업체에 돈을 요구했고, 2곳이 비트코인으로 약 255만 원을 지불했다.

경찰은 북한의 사이버 공격이 지속될 것으로 점치고 있다. 경찰 관계자는 “전산망 접근을 통제하고, 이메일 2단계 인증을 설정하는 등 보안 조치를 강화해야 한다”고 당부했다.

박준석 기자 pjs@hankookilbo.com