태영호 사칭 北해킹조직 '김수키'… 한국, 독자제재

10년간 원전·위성 기술 빼내
국정원·美FBI 등 한미 기관
北위협에 보안 권고문 발표

북한이 정찰위성 명목의 장거리 탄도미사일을 발사한 지 이틀 만에 한국 정부가 북한 정찰총국 산하 해커 조직 '김수키(Kimsuky)'를 독자제재 대상에 올렸다. 김수키는 2014년 한국수력원자력을 해킹하는 등 국내에서 주로 인공위성·우주 관련 첨단기술 등을 절취해왔던 유명 해킹 그룹이다.

정부는 2일 세계 최초로 김수키를 독자제재 대상에 포함시킴과 동시에 한미 공동으로 김수키에 관한 보안권고문을 발표했다. 김수키를 블랙리스트에 올려 북한을 '공개 압박'하는 전략을 취한 것이다.

김수키는 10여 년 전부터 기자·학자·연구자 등을 사칭해 전 세계 정부·정치계·학계·언론계 주요 인사를 대상으로 사이버 공격을 감행해 정보를 탈취해왔다. 지난 4월 공개된 유엔 안전보장이사회 산하 대북제재위원회 전문가 패널 보고서에 따르면 김수키는 군사·에너지·인프라스트럭처 분야를 공격 타깃으로 삼고 해당 분야에서 활동하는 업체들의 기밀정보도 노려왔다.

보고서는 김수키가 '애플시드'라는 이름의 백도어 멀웨어(악성 소프트웨어)를 구매주문서나 신청서 등으로 위장해 군기지 보수업체와 원전 관련 회사 등에 배포해 피해자들에게서 계정 정보는 물론 컴퓨터 폴더와 파일까지 빼냈다고 밝혔다.

국내에서 처음 김수키가 드러난 것은 2014년 한수원을 해킹해 원전 도면을 유출하고 가동을 중지시키겠다고 협박하면서부터다. 김수키는 이후 2021년 한국항공우주산업·옛 대우조선해양·서울대병원 등을 해킹했고, 2022년에는 태영호 국민의힘 국회의원실을 사칭해 국내 외교안보 전문가 및 기관을 해킹했다. 최근에는 경찰청 '사이버안전국'을 사칭한 이메일을 보내 정보 탈취를 시도하기도 했다.

외교부 당국자는 김수키를 제재 대상에 올린 것에 대해 "여러 부처가 오랜 기간 내부 검토를 거친 결과"라고 밝혔다. 외교부는 북한이 위성 명목의 도발을 감행할 경우 '응분의 대가'를 치르게 할 것이라고 밝힌 데 이어 이 같은 조치를 취한 것이다.

한편 외교부는 국가정보원·경찰청, 미국 연방수사국(FBI)·국무부·국가안보국(NSA) 등과 함께 김수키 의심 활동에 대한 주의와 사이버 보안 조치 강화를 권고하는 한미 정부 합동 보안권고문도 발표했다.

양국의 수사·외교당국이 북한 사이버 위협에 대한 보안 권고문을 발표한 것은 이번이 처음이다. 보안권고문에는 스피어피싱(특정인을 속이기 위해 맞춤으로 제작된 이메일과 전자통신 내용을 활용해 개인정보를 훔치는 공격)과 같은 김수키의 구체적인 활동 수법과 위험 지표, 위협 완화 조치 등이 상세히 기재됐다. 김수키의 스피어피싱을 전문 수사기관이 아닌 일반인이 구별해내기는 사실상 쉽지 않으나 한국에서는 쓰지 않는 두음법칙 미적용 단어들을 간혹 이메일에서 발견할 수 있는 것으로 알려졌다.

[한예경 기자]