북한 해커 ‘김수키’에 당한 49명 중 22명은 교육기관 종사자

게티이미지뱅크

892명에게 악성 이메일 보내

49명에게서 자료·주소록 탈취

中企 랜섬웨어 공격 후 돈요구

북한 해킹 조직이 지난 4∼10월 국회의원 비서실, 국립외교원 등을 사칭하는 악성 이메일을 국내 안보 전문가 892명에게 무더기로 보내 이 중 49명의 이메일을 실시간으로 들여다보는 등 개인정보를 빼내는 데 성공한 것으로 나타나 파장이 일고 있다. 피해자 49명 중 22명은 대학교수 등 교육기관 종사자로 파악됐다.

26일 경찰청 국가수사본부에 따르면, 북한의 ‘김수키’(Kimsuky)는 올 4∼10월 국립외교원 관계자, 20대 대통령직인수위원회 출입기자 등을 사칭하며 통일·외교·안보 국방 전문가 892명에게 악성 프로그램이 숨겨진 이메일을 보냈다. 김수키는 2014년 한국수력원자력 원전 도면 유출, 2016년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목되는 북한 해킹 단체다.

김수키는 이메일 첨부파일을 다운받으면 자동으로 악성 프로그램을 내려받게 하거나, 피싱 링크를 포털사이트 로그인 화면처럼 꾸며 아이디와 비밀번호를 빼돌리는 수법을 썼다. 김수키가 저지른 2014년 한국수력원자력 해킹 사건과 2016년 국가안보실 사칭 이메일 발송 사건 등과의 유사점을 여럿 발견했다고 경찰은 밝혔다. 해커가 북한 어휘를 사용한 점과 해킹 대상이 외교안보 전문가 등인 점도 북한 소행이란 판단의 근거가 됐다. 경찰 관계자는 “(김수키가) 해킹한 컴퓨터로 백신의 북한 표현인 ‘왁찐’을 인터넷에서 검색한 기록이 확인됐다”고 했다.

경찰 수사 결과, 대학교수 등 교육직 종사자 22명, 민간협회 및 단체 20명, 민간연구소 관계자 7명 등이 피해를 입은 것으로 조사됐다. 김수키는 이들 49명의 메일을 실시간으로 감시하면서 첨부된 외교안보 관련 발표 자료 등을 빼돌렸고 주소록도 탈취했다.

범행 과정에서 국내 중소기업에 랜섬웨어를 유포한 뒤 금전을 요구한 사실도 밝혀졌다. 랜섬웨어는 해커가 서버를 장악해 시스템을 마비시킨 뒤 대가를 요구하는 방식의 사이버 공격이다. 경찰 관계자는 “북한 해킹조직이 한국 기업을 상대로 랜섬웨어를 유포한 사실이 드러난 건 이번이 처음”이라고 했다.

송유근 기자 6silver2@munhwa.com

[ 문화닷컴 | 네이버 뉴스 채널 구독 | 모바일 웹 | 슬기로운 문화생활 ]

[Copyrightⓒmunhwa.com '대한민국 오후를 여는 유일석간 문화일보' 무단 전재 및 재배포 금지(구독신청:02)3701-5555 / 모바일 웹:m.munhwa.com)]