[뉴스큐] "태영호 의원실입니다"...추적해보니 北 '김수키' 해커

■ 진행 : 이광연 앵커, 박석원 앵커

■ 출연 : 이병길 경찰청 사이버테러수사대 팀장

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용시 [YTN 뉴스Q] 명시해주시기 바랍니다.

[앵커]

지난 5월, 북한 해킹 조직이 국민의힘 태영호 의원 비서관을 사칭해 국내 외교·안보 전문가에게 피싱 메일을 발송한 것으로 드러났습니다. 이른바 '김수키'로 불리는 이 조직은 중소 쇼핑몰 사업자 등을 협박해 비트코인도 뜯어낸 것으로 밝혀졌는데요.

사건을 수사한 경찰청 사이버테러수사대 이병길 수사팀장 모시고 이야기 나눠보겠습니다. 어서 오십시오.

이병길 팀장님, 안녕하십니까. 뉴스 제목만 보시고 김수키라는 해커가 잡혔나 싶으시겠지만 김수키는 해커 조직의 이름으로 알고 있고 하나씩 팀장님과 알아보겠습니다. 먼저 이 사건을 어떻게 해서 어떤 계기로 수사하게 된 건지부터 소개해 주시죠.

[이병길]

지난 4월 28일 한 언론사 기자를 사칭하면서 피싱 사이트로 유도하는 사칭 메일에 발송됐고요. 5월달에 연이어서 의원실을 사칭한 메일도 발송됐었습니다. 그래서 해당 언론사에서 고발과 함께 저희는 사칭 메일들을 다수 확보해서 수사에 착수하게 됐습니다.

[앵커]

말씀하신 것처럼 4월에는 대통령실 인수위원회 출입기자 사칭, 또 5월에는 앞서 보신 것처럼 태영호 의원실 비서로 위장하기도 했고 10월에는 국립외교원 사칭하는 메일이 있기도 했습니다. 모두 외교안보 전문가를 타깃으로 한 겁니까?

[이병길]

그렇습니다. 사칭의 대상만 조금씩 다를 뿐이지 공격 대상, 그러니까 사칭 메일을 수신하시는 분은 외교통일안보국방 업무에 종사하시는 전문가들이었습니다.

[앵커]

아까 화면에 방금 사례비를 기안하여 진행하겠습니다라는 여기를 주목해 보면 이게 바로 첨부파일, 사례비 지급 의뢰서라는 첨부파일이거든요. 그걸 누르면 안 됐던 거죠.

[이병길]

그렇습니다.

[앵커]

북한의 피싱 메일 열어봤더니 이렇게 정교하게 만들어진, 태영호 의원이 본인도 놀랄 만큼 정교했다라고 표현을 했는데 저 정도면, 지금 보면 기자입니다. 국립외교원입니다. 이렇게 사칭을 하면 사실 잘 모를 것도 같고요. 굉장히 알아채기 힘들 정도로 이를테면 감쪽같은 것 아닙니까?

[이병길]

사칭메일은 크게 두 가지가 있었는데요. 악성코드가 첨부된 형태가 있었고요. 피싱 사이트로 유도하는 형태가 있었습니다. 그런데 악성코드 같은 경우는 그 전문가분이 계신 분들이 관심 있어할 만한 문서로 위장된 악성 프로그램입니다.

그래서 해당 전문가분들도 파악하기 힘드실 거였고요. 그러다 보니까 사칭 메일을 통해서 유도되는 피싱사이트 또한 포털과 똑같이 모방돼서 제작됐기 때문에 전문가가 아닌 한 판별하기 힘들었다고 봅니다.

[앵커]

그러니까 표현도 세미나에 도움을 줬으니 사례비를 지급하겠다고 했더라고요.

지금 외교안보 전문가기도 하고 보도 나온 내용들 보면 또 절반 정도는 민간기관 연구원, 학교 교수들도 있다고 합니다. 주로 어떤 정보를 빼냈을 것으로 추정이 됩니까?

[이병길]

49건의 피해자분들의 상용 메일, 계정이 유출됐고요. 그분들 계정에 저장돼 있었던 송수신한 이메일, 그리고 이메일 내에 첨부돼 있었던 파일들, 그리고 그분들이 연락을 주고받는 주소록 등이 유출됐습니다.

[앵커]

그러면 주소록이나 타고 타고 들어가면서 다른 피해자를 만들 수도 있는 상황 아닙니까?

[이병길]

맞습니다. 피해자분들이 기존에 연락을 주고받던 지인들과의 메일을 보면 그분들에게도 사칭 메일을 보낼 수 있고요. 그리고 그렇게 되면 지인들 또한 피해를 입을 수 있으니까 메일 계정 보안에 주의를 기울여 주셔야 될 것 같습니다.

[앵커]

그러면 다음 얘기는 왜 이 메일을 보내고 해킹한 주체가 김수키라는 조직인가라는 점인데 8년 전 한국수력원자력을 해킹했던 일명 김수키로 경찰에서 특정한 것으로 알고 있거든요. 그때와 수법이 닮은 겁니까?

[이병길]

누군가를 사칭해서 해킹 메일을 보낸다는 기본적인 수법은 동일합니다. 하지만 수사기관의 추적을 회피하는 기술적인 방법은 점점 진화하고 있고요. 하지만 저희가 수사를 해서 예전 기존의 사건에서 피의자가, 그러니까 해킹 조직이 사용했었던 공격 근원지 IP 주소가 동일하다든지 또 그들이 사용했었던 이메일 계정이 동일하다든지 이런 특징을 확인할 수 있었습니다.

그리고 경유지 서버에서 북한 백신의 어휘인 왁찐 같은 북한 단어를 사용해서 인터넷을 검색하기도 했었습니다. 이런 것들을 저희가 수집해서 북한 근거를 확보했습니다.

[앵커]

혼선을 주기 위해서 여러 개 서버를 이용하기도 했다고 들었고 경유지 IP 이런 전문용어이기는 합니다마는 공격의 근원인 IP나 경유지 수법이 비슷했다, 이렇게 알고 있는데 그때도 그렇고 이런 북한 해커를 포착하는 데, 추적하는 게 어려운 점은 무엇입니까?

[이병길]

일단은 국내뿐만 아니라 26개국에 326대의 경유지 서버를 통해서 범행을 했습니다. 그러니까 꼭 국내뿐만 아니라 해외 여러 군데도 서버가 있고 그걸 추적하기 위해서는 국제공조수사가 많이 필요합니다. 이런 점들이 수사가 조금 장기화되는 면이 있습니다.

[앵커]

과거에 한수원 직원한테 이메일 보낸 건 허위입력창이라고 해서 거기 비밀번호를 쓰는 그런 입력창을 보낸다고도 하더라고요.

[이병길]

여러 가지 수법이 있습니다. 주로 노리는 것은 피해자분들의 아이디와 패스워드기 때문에 악성코드를 이용해서 키보드 로그인을 가지고 훔쳐서 아이디 패스워드를 수집할 수도 있고 또 모방 사이트, 피싱사이트를 통해서 아이디, 패스워드를 수집할 수 있고 여러 가지 방법을 동원하고 있습니다.

[앵커]

어떻게 정보를 탈취했는지 그 박수법을 저희가 알아서 어떻게 막을 텐데 일단 또 한 가지가 악성 프로그램의 일종인 랜섬웨어 이걸 활용한 것으로 기사를 통해서 확인을 했거든요. 랜섬웨어로 어떻게 범행을 저질렀는지 추가적으로 설명해 주시죠.

[이병길]

랜섬웨어가 랜섬이 몸값에 해당하는 거고 웨어는 소프트웨어입니다. 합성어인데요. 컴퓨터 안에 있는 디지털 정보를 악성 프로그램이 암호화하고 그리고 금전을 요구하는 범죄입니다. 그런데 이번 같은 경우는 북한 해커들이 국내에 있었던 경유지 87대가 있는데요. 그 87대 경유지 장악한 다음에 그 서버에 악성 프로그램인 랜섬웨어를 설치하고 금전을 요구하기도 했습니다.

[앵커]

한국 기업을 상대로 한 건데 북한 해킹 조직이 한국 기업을 상대로 랜섬웨어를 유포한 건 이번이 처음이라고 하더라고요.

[이병길]

국내에서 확인된 북한 해킹 조직의 랜섬웨어 범죄는 처음이었습니다.

[앵커]

그리고 또 랜섬웨어를 유포한 다음에는 비트코인 지불을 요청했다 이렇게 나오고 있는데 어떤 정황입니까?

[이병길]

피해 업체가 13개 업체고 서버가 19대인데요. 대부분의 업체가 금전 요구에 응하지 않았습니다. 그런데 복구가 긴급했었던 2군데 업체에서는 각각 130만 원에 해당되는 가상자산을 보내서 금전적인 피해도 입었습니다.

[앵커]

그렇게 마비를 시키고 나서 정상화 대가로 비트코인을 요구한 건 처음이라고 들었거든요.

[이병길]

요구한 건 처음이죠. 국내에서는 처음입니다.

[앵커]

국내에서는 처음이다. 그러면 비트코인을 송금받고 실제 사이트를 정상화는 해 줬습니까? 그 과정을 한번 확인해 보면요?

[이병길]

일단 정상화가 되느냐 안 되느냐가 중요한 건 아닌 것 같고요. 이런 비용을 지불한다고 해서 복구가 된다는 사실 보장이 없습니다. 범죄 조직이기 때문에요. 그리고 복구비용을 지불하게 되면 이런 범죄는 더 성행하기 마련입니다. 그런 부분보다는 서버를 운영하시는 분들이 주기적인 백업을 통해서 이런 사고가 발생했을 때 빨리 복원할 수 있도록 조치하는 게 더 중요하다고 생각됩니다.

[앵커]

코인을 지불하는 것 자체에 대한 합법, 불법의 여부는 없는 겁니까?

[이병길]

피해자에게는 당연히 불법이라고 보기는 힘들고요. 금전을 요구했었던 피의자는 당연히 범죄가 되는 거죠.

[앵커]

그러면 이건 어떻습니까? 지금 엑시인피니티라고 해서 북한이 해킹을 해서 8300억 원 상당의 암호화폐를 탈취했고 국정원 발표에 따르면 11월 기준으로하루 해킹 공격 118만 건인데 그중에서 북한 소행이 절반 이상이다라고 하는데 최근에 이런 안보기밀뿐만 아니라 코인 같은 가상자산을 북한이 노골적으로 노리는 이유, 여기에는 어떤 요인이 있다고 보십니까?

[이병길]

저희 수사기관의 입장에서 보면 이런 사칭 메일을 발송하는 범죄에서 여러 가지 금전이 필요한 경우가 있습니다. 예를 들면 서버를 임대하거나 아니면 IP주소 세탁을 위한 금액을 결제하거나 이럴 때 금전이 필요한데요. 이런 금전을 충당하기 위해서라도 이런 비트코인을 노리는 범죄는 계속될 거라고 생각합니다.

[앵커]

혹시 북한의 도발과 관련된 부분도 있을까요? 이를테면 올해 무력도발을 여러 번, 크게 대형 도발을 많이 하지 않았습니까? 그때마다 이런 얘기가 나오기도 했었는데 혹시 그런 연관성에 대해서는 팀장님은 어느 선까지 알고 계신가요?

[이병길]

저희는 수사기관이기 때문에 북한의 범죄와의 관계를 결합해서 설명드리기는 어려울 것 같습니다.

[앵커]

알겠습니다. 혹시나 해서 한번 여쭤봤는데. 끝으로 김수키 일당의 피싱메일 공격이 이렇게 외교안보 전문가에게만 국한되는 일인지 지금 나온 사례들로 보면 외교안보 전문가로 일단 북한이 제안해서 소행을 저지른 것으로 보이는데 이 대상이 확대될 가능성은 없는지, 그리고 끝으로 이 해킹 피해를 막기 위한 예방법까지 알려주시죠.

[이병길]

대상은 점점 더 폭넓어질 거라고 보이고요. 전문 분야, 외교국방안보 이런 분야에 종사하시는 분들뿐만 아니라 모든 분들에게 해당되는 내용인 것 같습니다. 일단 발신자가 불분명한 이메일을 수신했을 때는 주의를 기울이셔야 될 것 같고요.

송신하셨던 분이랑 유선으로 연락을 한 다음에 확인한다든지 이런 주의가 필요해 보입니다. 그리고 이메일 계정에 대한 접속 보안, 핸드폰을 통해서 2단계 인증을 거친다든지 이런 보안 강화가 필요해 보이고요. 무엇보다도 중요한 메일을 주고받으실 때 첨부파일은 반드시 암호를 걸고, 그리고 암호는 그분에게 유선상으로 따로 알려주시면서 조치를 취하시면 피해 예방에 도움이 될 거라고 봅니다.

[앵커]

그러면 이번 해커들이 지금 이 김수키라는 해킹 조직이 메일에 첨부돼 있던 문서나 주소록을 빼냈는데 일단 이메일로 문서를 주고받을 때는 비밀번호를 걸어놓자. 알겠습니다. 여기까지 듣겠습니다. 경찰청 사이버테러 수사대 이병길 수사팀장과 알아봤습니다. 감사합니다.

※ '당신의 제보가 뉴스가 됩니다'

[카카오톡] YTN 검색해 채널 추가

[전화] 02-398-8585

[메일] social@ytn.co.kr

[저작권자(c) YTN 무단전재 및 재배포 금지]