“설문 사례비 30만원”… 클릭 순간, 내 정보 ‘김수키’ 손으로

해킹, 北의 대표적 비대칭 전략

사진=게티이미지뱅크

“설문 조사에 참여해주신 분들께 소정의 사례비(30만원)를 드립니다.”

지난 3월 디지털 메모 작성 애플리케이션(앱)인 마이크로소프트 원노트(OneNote) 일부 이용자들은 이 같은 메시지를 받았다. 한 연구소가 진행하는 설문조사에 참여하면 사례비를 준다는 문서였다. 이 문서는 ‘사례비 지급을 위해 개인정보이용동의서 작성이 필수’라며 첨부된 ‘개인정보이용동의서.hwp’를 클릭하라고 유도했다.

그러나 ‘개인정보이용동의서.hwp’를 클릭하는 순간 이용자 PC 안에 저장된 각종 정보가 새어 나간다. 정보보안업체 안랩에 따르면 이 문서에는 악성 스크립트(.vbs)가 숨어 있다. 클릭 순간 악성 파일이 ‘personal.vbs’ 명으로 임시경로에 생성·실행되고 최종적으로 정보가 유출되는 식이다. 정보 당국은 해당 메일 배후에 ‘김수키’(Kimsuky)가 있는 것으로 추정한다.

김수키를 비롯한 북한 해커조직이 고도화된 수법으로 국내 대상 사이버 공격을 감행하는 사례가 계속되고 있다. 지난해 4∼8월에는 김수키가 남한 외교·안보 전문가 150명을 겨냥해 ‘남북관계_주요일지(2022년 2월).hwp’라는 제목으로 피싱 메일을 발송하는 사건이 발생했다. 실제 피싱 사이트에 접속해 계정정보를 뺏긴 피해자는 전직 장·차관, 학계·전문가, 기자 등 모두 9명이었다. 포털사이트 네이버를 정교하게 복제한 피싱사이트를 만들거나, ‘협의이혼확인서’를 위장해 악성 매크로를 유포하는 사례도 나오고 있다.

북한의 사이버 공격은 핵·미사일과 함께 대표적 ‘비대칭 전략’으로 꼽힌다. 사이버 공격 핵심 부서는 정찰총국 ‘121국’(사이버전 지도국) 산하 110호 연구소다. 첩보 활동 위주인 김수키와 금융 관련 해킹 조직 ‘라자루스’(Lazarus) ‘블루노로프’(Bluenoroff) ‘안다리엘’(Andarial) 등이 여기에 속해 있다.

글로벌 사이버 보안업체 맨디언트에 따르면 북한은 사이버 범죄로 벌어들인 돈으로 사이버전쟁 수행 시스템을 향상하거나 핵·미사일 등 전략 무기를 만드는 데 주로 사용한다. 북한 해커조직은 지난해 8000억원가량의 세계 가상자산을 탈취했다고 외교부는 밝힌 바 있다.

홍민 통일연구원 북한실장은 “2004년 미국의 북한인권법 제정 여파로 북한의 기존 외화벌이 수단이었던 무기거래·광물거래·인력파견이 악화됐다”며 “북한에서는 사이버 해킹을 통한 자금 마련이 가장 중요한 일이 됐고 실제 막대한 이익을 보고 있다”고 말했다.

특히 글로벌 정보수집 임무를 담당하는 김수키는 국내에 가장 잘 알려진 북한 해킹조직이다. 김수키는 2012년부터 각국의 정부 부처 등을 해킹해 사회기반 시설, 탈북자 등의 관련 자료를 빼낸 것으로 조사됐다. 러시아 정보보안업체가 2013년 해커의 이메일 계정이 ‘김숙향(kimsukyang)’이라는 사실을 알아냈고, 러시아식으로 김수키로 부른 내용의 보고서를 발표하면서 처음으로 알려졌다.

국내에서 김수키의 암약은 2014년 한국수력원자력 원자력발전소 도면 유출 사건으로 처음 알려졌다. 당시 검찰 수사 결과 해킹 과정에서 사용된 인터넷 프로토콜(IP) 주소가 김수키 계열 악성코드의 IP와 12자리 중 9자리가 일치했다. 2016년 국가안보실 사칭, 2021년 서울대병원 환자 7000여명 개인 정보 유출 사건, 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일 등도 모두 김수키의 공격 사례로 파악됐다. 경찰 관계자는 “김수키는 집요할 정도로 해킹 메일을 뿌려서 정보 탈취나 기밀·기술 탈취에 특화된 조직”이라고 설명했다.

지난 3월 북한 해킹 조직 ‘김수키’가 마이크로소프트의 원노트(OneNote)를 악용해 한 연구소가 설문 조사로 사례비 30만원을 지급한다는 문서를 유포했다. 김수키는 이 문서를 통해 악성코드를 심도록 유도했다. 안랩 제공

김수키는 ‘스피어 피싱’(이메일에 악성코드를 심은 문서나 링크를 걸어놓는 방식) 및 ‘워터링홀’(공격 대상이 방문할 가능성이 있는 웹사이트를 미리 감염시킨 뒤 잠복하면서 피해자 컴퓨터에 악성코드를 추가로 설치하는 방식) 공격을 사용해 타깃의 정보를 추출한다. 최근에는 악성코드 종류를 다변화하거나 유명 소프트웨어의 약점을 활용하기도 한다. 경찰청은 이들이 해킹 메일에 ‘봉사기’(서버)나 ‘랠’(내일), ‘적중한’(적합한) ‘와찐’(백신) 등 북한식 어휘나 문구를 사용한 점을 근거로 김수키 소행이라고 결론 내린 바 있다.

국제적으로도 김수키 등 북한 해커조직의 수준이 위협적이라는 평가다. 미국은 2019년부터 라자루스 등을 독자 제재했고, 일본도 지난해 12월 라자루스 독자 제재에 나섰다. 정부도 지난 2일 김수키를 대북 독자 제재 대상으로 지정하면서 김수키의 가상자산 지갑 주소를 제재 명단에 올렸다. 국가정보원, 경찰청, 미 연방수사국(FBI), 국가안보국(NSA) 등은 한미 정부 합동 보안권고문에 김수키 의심 활동에 대한 사이버 보안 조치 강화를 권고하는 내용을 담았다.

현재 북한 해커 인력은 1만5000여명 수준인 것으로 추정된다. 이들은 북한과 중국, 러시아 등에서 ‘군대형 조직’으로 활동하며 호시탐탐 공격 기회를 엿보고 있는 것으로 알려져 있다. 북한은 평양에 있는 금성학원 등에 ‘컴퓨터 수재반’을 설치해 성적 우수자를 북한 최고 대학인 김일성종합대와 김책공업대로, 일부는 정찰총국 산하 모란봉대학으로 진학해 전문 해커로 육성시킨다.

정부 관계자는 “해킹과 같은 단순 공격이 아닌 사이버 전쟁의 관점에서 바라봐야 하는 이유”라고 말했다. 이호석 SK쉴더스 EQST랩장(담당)은 “북한발 해킹은 점점 늘어나고 있다. 대규모 공격이 올 하반기에도 일어날 조짐이 보여 대비가 필요하다”고 내다봤다.

박재현 기자 jhyun@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지