한미연습 노리고 '北 김수키'가 보낸 악성 이메일…"염두를 '념두'로"

김은빈 2023. 8. 20. 10:41
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

연말정산 위장 악성 전자우편. 사진 경찰청

지난 2~3월 한미연합연습 전투모의실에 파견된 직원들에게 발송된 악성 이메일 사건이 북한 해킹조직인 '김수키(Kimsuky)의 소행으로 파악됐다. 해당 이메일에는 '염두'라는 표현이 '념두'로 쓰이는 등 북한식 어휘가 사용됐다.

경찰청 국가수사본부는 경기남부경찰청 안보수사과가 미군 수사기관과 공조해 이 같은 수사 결과를 내놨다고 20일 밝혔다.

이에 따르면 북한 해킹조직은 지난해 4월부터 국내 워게임(War Game) 운용업체를 해킹하기 위해 악성 이메일 공격을 지속했고, 올해 1월쯤에는 해당 업체 소속 행정직원의 이메일 계정을 탈취해 업체 컴퓨터에 악성코드를 설치한 것으로 조사됐다.

이후 원격 접속을 통해 피해업체의 업무 진행 상황과 이메일 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취했다.

이렇게 탈취한 신상정보를 활용해 한미연합연습 전투모의실에파견될 직원 명단을 확보했고, 해당 직원들에게 올해 2월부터 연말정산 시기에 맞춰 '원천징수영수증'으로 위장한 악성 이메일을 보냈다.

연말정산 위장 악성 전자우편. 사진 경찰청

이를 수신한 직원들이 미국 국방 전산망에서 악성 첨부 문서를 실행하려 했지만 보안스시템에 의해 악성코드가 차단돼 군 관련 정보는 탈취되지 않은 것으로 파악됐다.

다만 일부 직원들이 해당 이메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염됐다.

경찰청과 미군 수사기관은 공격에 사용된 아이피(IP)가 지난 2014년 '한국수력원자력 해킹 사건'에서 확인된 IP 대역과 일치하고 탈취한 자료를 자동으로 전송하는 기능이 포함된 악성코드가 사용된 사실을 확인했다.

아울러 ▶경유지 구축 방법 등 기존 공격과 유사성 ▶북한식 어휘 '념두'(염두) ▶한미연합연습 시기에 맞춰 공격한 점 등을 근거로 이번 사건이 '김수키' 소행인 것으로 판단했다.

한편 경찰은 오는 21일 시작하는 한미연합 군사연습 '을지 자유의 방패(UFS)'를 한 달 여 앞둔 지난 7월 미국 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인하고 미군 수사기관과 공조수사를 계속 진행하고 있다.

경찰청 관계자는 "한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례"라며 "앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획"이라고 말했다.

김은빈 기자 kim.eunbin@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?