안보전문가 해킹 시도 ‘北 김수키’ 소행 확인

2022년 4∼8월 150명에 피싱메일
장차관급 3명·기자 등 9명 피해
탈취 정보 중 민감 자료는 없어

북한 정찰총국 산하 해킹 조직인 일명 ‘김수키(Kimsuky)’가 다수의 국내 안보 분야 전문가들에게 악성 이메일을 보내 해킹을 시도한 것으로 확인됐다. 일부 피해자가 실제 계정 정보를 탈취당했지만 민감한 자료가 넘어가지는 않은 것으로 파악됐다.

경찰청 국가수사본부는 7일 북한 해킹 조직이 국내 외교·안보 분야 주요 관계자 150명에게 정보 탈취를 노린 ‘피싱 메일’을 대량 유포한 사실을 확인했다고 밝혔다. 국수본에 따르면 김수키는 윤석열정부 출범에 맞춘 지난해 4∼8월 피싱 사이트 접속을 유도하는 악성 이메일을 이들에게 발송했다. 피싱 사이트에 접속해 계정 정보를 뺏긴 피해자는 전직 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등 모두 9명으로 확인됐다.

김수키는 전직 고위 공무원 등 피해자들의 메일 송·수신 내역을 2∼4개월간 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 다만 탈취된 정보 중에 기밀 자료는 없는 것으로 확인됐다고 경찰은 전했다. 피싱 메일 발송은 남한 내 36개, 국외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 이뤄졌다. 해킹한 서버를 악성 전자우편 발송, 피싱 사이트 구축, 탈취 정보 전송 등 서로 다른 용도로 사용해 추적을 교란하는 치밀함도 보였다.

이번 사건은 경찰청이 국가정보원 국가사이버안보센터와 공유해 피해를 인지하면서 시작됐다. 최초 수사에 착수한 제주경찰청 첨단안보수사계와 경찰청 안보수사국·국정원이 이메일 5800여개를 분석하고 추적했다. 당국은 공격 근원지 IP 주소와 경유지 구축 방식 등을 확인한 끝에 김수키를 범행 주체로 지목했다. ‘봉사기’(서버)나 ‘랠’(내일), ‘적중한’(적합한) 등 북한식 어휘나 문구 사용도 결정적 근거가 됐다. 경찰은 이번 수사에서 김수키가 사용한 국내외 서버에서 가상자산 지갑 주소 2개를 발견함에 따라 금전 탈취도 시도한 것으로 보고 수사를 이어간다는 방침이다.

2014년 한국수력원자력을 해킹해 원전 도면 등을 빼낸 사건의 주범으로 지목된 김수키는 10여년 전부터 전방위적인 사이버 공격을 감행하며 국내는 물론 해외에도 널리 알려진 북한의 대표적 해킹 집단이다. 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일도 이들의 소행인 것으로 최근 확인된 바 있다. 지난 2일 정부는 북한의 군사정찰위성 발사와 관련해 세계 최초로 김수키를 독자 제재 대상에 올리기도 했다.

정지혜 기자 wisdom@segye.com