북 해킹조직 김수키, 한미연합연습 노려 사이버 공격 시도

주한미군 부대에 파견된 워게임 업체 직원 대상 악성 전자우편 보내…정보 유출은 안돼

북한 해킹조직 공격 개요도. 경기남부경찰청 제공.

북한 해킹조직인 ‘김수키’(Kimsuky)가 한미연합연습을 노리고 사이버 공격을 시도한 정황이 확인됐다.

경기남부경찰청 안보수사과는 한미연합연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 3월까지 수차례 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 확인됐다고 20일 밝혔다.

김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 끝에 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취하고,컴퓨터에 악성코드를 심는 데에 성공했다.

김수키는 이후 원격 접속을 통해 A사 직원들의 신상정보를 가로챈 것으로 드러났다.

김수키는 탈취한 자료를 바탕으로 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다.

이를 받은 A사 직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 보안시스템에 의해 해당 파일이 열리지 않았다고 한다.

수사 결과 군 관련 정보가 김수키 측에 흘러 들어간 정황은 나타나지 않았다.

다만 일부 직원이 해당 전자우편을 외부의 개인 전자우편 계정으로 재전송해 열람했고, 이 과정에서 개인용 컴퓨터가 악성코드에 감염된 사례가 있었다고 경찰은 설명했다.

경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 ‘한국수력원자력 해킹 사건’에서 사용된 IP 대역과 일치하는 사실을 파악했다.

아울러 기존 공격과 유사성, ‘념두’ 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다.

경기남부경찰청 이상현 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례이다”라며, “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다”라고 밝혔다.

신동원 기자

▶ 밀리터리 인사이드 - 저작권자 ⓒ 서울신문사 -