“념두에 두세요” 메일 보냈다 들킨 北 해킹 조직 ‘김수키’

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 지난달 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. /뉴스1

북한 해킹 조직인 ‘김수키(Kimsuky)’가 올 상반기 한미 연합 연습을 앞두고 사이버 공격을 시도한 사실이 확인됐다. 악성 코드가 담긴 이메일에 북한식 표기법을 사용하거나 기존 공격 수법과 비슷한 점 등으로 미뤄 경찰은 북한의 소행으로 판단했다.

경기남부경찰청 안보수사과는 지난 3월 실시된 ‘프리덤 실드’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들에게 지난 2월부터 발송된 악성 이메일을 수사한 결과 ‘김수키’의 소행으로 확인됐다고 20일 밝혔다. 김수키는 북한의 정찰총국 산하 해킹 조직으로, 2012년부터 세계 각국의 기관과 개인을 대상으로 사이버 공격을 해왔다. 작년 5월 태영호 의원실 명의로 외교·안보 전문가들에게 발송된 피싱 메일 사건, 2021년 서울대병원 개인 정보 유출 사건, 2014년 한국수력원자력 해킹 사건 등도 이들의 소행으로 파악됐다.

경찰에 따르면 김수키는 작년 4월부터 악성 코드가 담긴 이메일 공격으로 지난 1월 A사의 행정 직원 이메일 계정을 탈취하고, 그의 컴퓨터에 악성 코드를 심었다. 이후 원격 접속으로 A사의 업무 상황과 직원들의 신상 정보를 탈취하는 데 성공했다. 이를 근거로 지난 2월 연말정산 시기에 맞춰 세무 법인 명의로 원천징수영수증으로 위장한 이메일을 프리덤 실드 전투모의실에 파견된 직원들에게 보냈다. 그러나 미국 국방 전산망 보안 시스템에 걸려 차단됐다. 군 관련 정보는 탈취되지 않았지만 일부 직원의 개인용 컴퓨터가 악성 코드에 감염된 사례는 있었다.

당시 김수키가 보낸 이메일에는 ‘염두(念頭)’의 북한식 표기인 ‘념두’라는 단어가 포함돼 있었다. 경찰은 또 해킹 공격에 사용된 아이피(IP)가 2014년 김수키 소행으로 확인된 한국수력원자력 해킹 사건 당시 사용된 IP 대역과 일치하는 사실을 확인했다. 경찰은 오는 21일부터 이달 말까지로 예정된 ‘을지 프리덤 실드’를 한 달가량 앞둔 지난달에도 미 육군 인사처를 사칭한 이메일이 주한 미군 한국인 근무자들에게 발송된 사실을 추가로 확인하고, 미군 수사기관과 함께 수사 중이다.