'연말정산 오류' 악성 이메일…한·미 훈련 노린 北 해커 소행

한수원 등 해킹했던 '김수키'
경찰 "주한미군 용역업체 공격"

한미연합연습 ‘을지 자유의 방패(UFS·을지프리덤실드)’를 앞두고 북한 해킹 조직인 ‘김수키(Kimsuky)’가 여러 차례 훈련 정보를 빼내기 위해 사이버 공격을 시도한 정황이 확인됐다.

경기남부경찰청 안보수사과는 20일 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 발송된 악성 전자우편 사건을 수사한 결과 해킹 주범으로 김수키를 지목했다.

김수키는 한국, 미국, 일본을 대상으로 국가기밀을 빼돌리는 공작부대다. 정부는 김수키를 6월 대북 독자 제재 대상으로 지정했다. 한국수력원자력, 한국항공우주산업, 서울대병원 등 국내 주요 기관과 국내 무기, 인공위성 등을 해킹했다. 이번 해킹에도 종전에 사용된 IP(인터넷프로토콜) 대역 일부가 일치한 것으로 알려졌다.

경찰에 따르면 김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 이메일을 지속해서 보냈고 올 1월 한 행정 직원의 전자우편 계정을 탈취했다. 악성코드가 심어진 컴퓨터를 통해 A사의 업무 진행 상황, 이메일 송·수신 내용 등을 실시간으로 살폈으며 A사 직원들의 신상정보를 빼돌릴 수 있었다.

직원 신상정보는 2월 연말정산에 맞춰 전투모의실에 파견된 직원들에게 원천징수와 관련된 이메일을 보내는 데 활용됐다. 특정인을 목표로 만든 정교한 해킹 메일이었다. 내용은 ‘저는 세무법인 ×××× 서울지점 세무사무실 담당자입니다. 연말 정산자료를 정리하던 중 이OO 님의 자료에 오류가 생겨 직접 확인할 부분이 있어 메일을 드렸습니다. 만일 잘 열리지 않으면 알집 설치를 부탁드립니다. 암호는 20230207입니다’ 등이었다.

일부 직원이 첨부파일을 실행했으나 미국 국방 전산망의 보안시스템에 의해 악성코드가 차단됐다. 다만 외부 계정으로 재전송된 메일을 보는 과정에서 일부 개인용 컴퓨터가 악성코드에 감염됐다. 3월 13일부터 23일까지 지속된 한미연합연습 당시 미군은 경찰에 “보안시스템에 악성코드가 접속하려고 한 기록이 있다”고 신고했다.

이상현 경기남부청 안보수사과장은 “한·미 간 원활한 협업으로 주한미군의 자료 유출을 예방했다”며 “국가안보를 위협하는 사이버 테러에 적극 대응하겠다”고 말했다.

조철오 기자 cheol@hankyung.com

▶ 클래식과 미술의 모든 것 '아르떼'에서 확인하세요
▶ 한국경제신문과 WSJ, 모바일한경으로 보세요