경찰 “한미연합연습 직원 해킹피해…북한조직 ‘김수키’ 소행”

한미연합연습을 사흘 앞둔 지난 18일 경기도 동두천시의 미군기지에서 견인포와 수송차량 등 주한미군 장비가 대기하고 있다. 한미 군 당국은 오는 21일부터 31일까지 ‘을지 자유의 방패’(UFS·Ulchi Freedom Shield) 연합연습을 진행한다. 기사내용과 직접적인 연관 없음. 연합뉴스

최근 한미연합연습 전투모의실에 파견된 직원들이 입은 해킹 피해가 북한 해킹조직 ‘김수키(Kimsuky)’ 소행인 것으로 파악됐다.

경기남부경찰청 안보수사과는 올해 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 전자우편 사건을 수사한 결과 북 해킹조직이 범행한 것으로 확인됐다고 20일 밝혔다.

경찰에 따르면 경유지 구축 방법 등 기존 공격과 유사성, 전자우편상 북한식 어휘 ‘념두(염두)’ 등 사용, 한미연합연습 시기에 맞춰 공격한 점 등을 종합적으로 고려해 북한 해킹조직 소행이라고 판단한 것이다.

특히 이번 공격에 사용된 아이피(IP)주소는 2014년 발생한 ‘한국수력원자력 해킹 사건’ 당시 쓰인 아이피와 일치했다.

① 한미연합연습 워게임 운용업체 해킹 → ② 피해업체 관리자 PC 장악하여 직원 신상정보 탈취 → ③ 한미연합연습 전투모의실 파견 업체 직원에게 악성메일 전송 <미군 전산망에서 악성코드 실행 차단> → ④ 해당 이메일을 외부 전자우편으로 전달 <개인 PC로 열람하여 악성코드 감염 → 자료유출> . 경기남부경찰청 제공

김수키는 작년 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했다.

올해 1월경에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 조사됐다.

이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다.

김수키의 범행은 여기서 멈추지 않았다. 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다.

일부 직원이 해당 전자우편을 외부 계정으로 재전송하는 과정에서 개인용 컴퓨터가 악성코드에 감염되기도 했다.

이상현 경기남부경찰청 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례다”며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획”이라고 전했다.

명종원 기자

▶ 밀리터리 인사이드 - 저작권자 ⓒ 서울신문사 -