北 해킹조직 ‘김수키’...한미연합연습 노려 사이버 공격 시도

전투모의실 파견 직원에 악성코드 이메일 보내
美 보안시스템에 차단, 軍 정보는 탈취 면해

그래픽=조선디자인랩 이민경

북한의 해킹 조직인 ‘김수키’(Kimsuky)가 상반기 한미연합연습을 앞두고 사이버 공격을 시도한 정황이 확인됐다. 안보 당국은 21일부터 열리는 하반기 한미연합연습 ‘을지 프리덤 실드’(을지 자유의 방패·UFS)를 앞두고도 지난달 미심쩍은 이메일이 주한미군 한국인 근무자에게 발송된 사실을 확인하고 수사를 벌이고 있다.

경기남부경찰청 안보수사과는 지난 3월 실시된 한미 연합 군사연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 파악됐다고 20일 밝혔다.

김수키는 북한 정찰총국 산하 해킹 조직으로 알려져 있으며, 우리 정부는 지난 6월 2일 김수키를 독자 대북 제재 명단에 올렸다. 작년 국내 외교·안보 분야 관계자들에게 대량 유포된 ‘피싱 메일’도 김수키의 소행인 것으로 최근 확인됐다.

경찰에 따르면 김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 이메일 공격을 지속, 올 1월 A사 소속 행정 직원의 이메일 계정을 탈취하고, 컴퓨터에 악성코드를 심는 데에 성공했다. 김수키는 이후 원격 접속을 통해 A사의 업무 진행 상황과 이메일 송수신 내용을 실시간으로 들여다보고, 소속 직원들의 신상정보를 탈취한 것으로 드러났다.

또 탈취한 자료를 바탕으로 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 이메일을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다. 이를 수신한 A사 직원들은 이메일에 첨부된 파일을 실행하려 했으나, 미국 국방 전산망의 보안시스템에 의해 악성코드가 차단됐고 군 관련 정보는 탈취되지 않은 것으로 확인됐다.

다만 일부 직원이 해당 이메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 사례가 있었다고 경찰은 밝혔다.

김수키가 한미연합연습 전투모의실에 파견된 국내 업체 직원에게 보낸 위장 이메일. /경기남부경찰청

경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹 공격에 사용된 아이피(IP)가 2014년 김수키 소행으로 확인된 ‘한국수력원자력 해킹 사건’에서 사용된 IP 대역과 일치하는 사실을 파악했다. 또 기존 공격과 유사성, ‘념두(’염두’의 북한식 표기)’ 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반적 상황을 고려할 때 이번 사건도 김수키의 소행으로 판단했다.

경찰은 21일부터 31일까지로 예정된 ‘을지 프리덤 실드’(을지 자유의 방패·UFS)를 한 달여 앞둔 7월에도 미 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실을 추가로 확인하고, 미군 수사기관과 공조 수사를 계속하고 있다.