"념두에 두세요"... 북한, 이번엔 연말정산 위장한 해킹공격

2014년 한수원 노렸던 해킹조직 '김수키'
을지연습 앞두고 워게임 직원에 피싱메일

'자유의 방패'(프리덤실드·FS) 한미연합연습이 지난 3월 13일 오전 경기도 평택시 캠프 험프리스에서 RC-12X 가드레일 정찰기가 이동하고 있다. 연합뉴스

"세무법인 담당입니다. 연말정산 자료를 정리하던 중 오류가 생겨서 연락드렸습니다. 오류는 데이터 백업 시 계산상 착오가 발생한 것을 념두에 둔 것입니다."

21일 시작되는 한미연합군사연습 '을지 자유의 방패'(UFS)를 겨냥한 북한의 사이버 공격이 끊이지 않고 있다. 경찰은 악성코드가 담긴 이메일 내용 중에서 두음법칙을 지키지 않은 단어(념두)가 쓰여 있는 점 등을 토대로 이를 북한의 소행으로 판단, 미군과 공조 수사에 나섰다.

경찰청 국가수사본부는 2월 '김수키'(Kimsuky)라고 불리는 북한 해킹그룹이 한미연합연습 전투모의실에 파견된 국내 워게임 운용업체 직원들을 대상으로 악성 전자우편을 보낸 사실을 확인했다고 20일 밝혔다. 김수키는 북한 해외첩보 기관인 정찰총국 소속으로 알려진 해킹 조직인데, △지난해 태영호 의원실을 사칭한 이메일 발송 △2021년 서울대병원 해킹 △2014년 한국수력원자력 해킹 등에 가담한 것으로 의심받고 있다.

경찰에 따르면 북한 해킹조직은 지난해 4월부터 해당 업체를 대상으로 악성 이메일 공격을 지속해온 것으로 확인됐다. 이 조직은 1월 업체 소속 행정직원의 이메일 계정을 탈취, 컴퓨터에 악성코드를 심어 전직원 신상정보를 비롯해 모든 이메일 송수신 현황 등을 획득했다. 경기남부경찰청은 미군 수사기관과 공조수사에 나서는 한편, 자료 유출 방지를 위한 피해 보호조치 등에 나선 것으로 전해졌다.

북한 해커들은 이렇게 확보한 이메일 주소를 토대로 연말정산 시기에 맞춰 2월 '원천징수영수증'으로 위장한 피싱메일을 대거 발송했다. 세무법인 명의로 발송된 이 이메일에는 '연말정산 자료를 확인하던 중 오류가 생겼으니, 첨부된 문서 파일을 확인해달라'는 내용이 포함돼 있었다. 수신한 직원 중 일부가 악성코드가 포함된 파일을 내려받았지만, 다행히 미 국방부 보안시스템에 가로막혀 훈련 정보 등은 탈취되지 않은 것으로 파악됐다.

경찰은 △공격에 사용된 인터넷주소(IP)가 한수원 해킹 사건에서 확인된 IP 대역과 일치하는 점 △경유지 구축 방법 등 기존 공격과의 유사성 △한미연합연습 시기에 맞춰 공격한 점 등을 근거로 이번 사건을 북한의 소행으로 봤다. 경찰은 지난달 미국 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실 또한 확인해, 이에 대해서도 미군과 공조수사를 진행 중이다. 경찰 관계자는 "해킹조직이 훈련 관련 자료를 탈취한 뒤 이를 지렛대로 미군 시스템에 침입하려고 시도한 것으로 보인다"라며 "앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응할 계획"이라고 말했다.

이승엽 기자 sylee@hankookilbo.com