北 해킹조직 ‘김수키’, 한·미 연합 군사연습 노려 사이버공격 시도

이주희 디지털팀 기자 2023. 8. 20. 16:47
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

북한 해킹조직이 한·미 연합 군사연습을 노려 국내 워게임(War Game) 운용업체 직원들을 대상으로 사이버 공격을 시도한 정황이 확인됐다.

20일 경기남부경찰청 안보수사과에 따르면, 한·미 연합 군사연습인 '프리덤 실드(자유의 방패·FS)' 전투모의실에 파견된 국내 워게임 운용업체 A사 직원들에게 발송된 악성 전자우편 사건을 수사한 결과 북한 '김수키(Kimsuky)'의 소행으로 파악됐다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

주한미군 부대에 파견된 국내 워게임 업체 직원 대상 공격
군 관련 정보 유출 정확은 없어…美 수사기관과 공조 지속

(시사저널=이주희 디지털팀 기자)

해킹 공격 개요도 ⓒ경기남부경찰청 제공

북한 해킹조직이 한·미 연합 군사연습을 노려 국내 워게임(War Game) 운용업체 직원들을 대상으로 사이버 공격을 시도한 정황이 확인됐다.

20일 경기남부경찰청 안보수사과에 따르면, 한·미 연합 군사연습인 '프리덤 실드(자유의 방패·FS)' 전투모의실에 파견된 국내 워게임 운용업체 A사 직원들에게 발송된 악성 전자우편 사건을 수사한 결과 북한 '김수키(Kimsuky)'의 소행으로 파악됐다. 수사 결과 군 관련 정보가 김수키 측에 흘러 들어간 정황은 포착되지 않았다.

김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속했다. 그 결과 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취, 컴퓨터에 악성코드를 심는 데에 성공했다. 이후 원격 접속을 통해 A사의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 들여다보고, 소속 직원들의 신상정보를 가로챈 것으로 드러났다.

김수키는 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다. 직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 해당 파일이 열리지 않았다. 다만 일부 직원이 해당 전자우편을 외부의 개인 전자우편 계정으로 재전송해 열람했고, 이 과정에서 일부 개인용 컴퓨터가 악성코드에 감염됐다고 경찰은 설명했다.

지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수한 경찰은 해킹 공격에 사용된 아이피(IP)가 앞서 김수키가 벌인 '한국수력원자력 해킹 사건'에서 사용된 IP 대역과 일치하는 것을 파악했다. 아울러 기존 공격과의 유사성과 북한식 어휘 사용, 한·미 연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다.

경찰은 오는 21일부터 31일까지로 예정된 '을지 프리덤 실드'(을지 자유의 방패·UFS)를 한 달여 앞둔 지난달에도 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가로 확인하고, 미군 수사기관과의 공조 수사를 계속하고 있다.

한편, 김수키는 2014년 한국수력원자력 해킹 사건을 일으킨 이후 지난 6월2일 우리 정부의 독자 대북 제재 명단에 올랐다. 지난해 국내 외교·안보 분야 관계자들에게 '피싱 메일'을 대량 유포한 것도 김수키의 소행인 것으로 최근 확인됐다.

Copyright © 시사저널. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?