이메일에 쓴 ‘염두’ 아닌 ‘념두’… 김수키, 한·미 연합연습 직원들 노려

지난 2월 한·미 연합연습 전투모의실에 파견된 직원들에게 발송된 악성 이메일이 북한 해킹조직 ‘김수키’의 소행으로 조사됐다.

경찰청 국가수사본부는 김수키가 한·미 연합연습 전투모의실에 파견된 국내 ‘워게임(War Game)’ 운영업체 직원들을 대상으로 악성 이메일을 보낸 사실을 확인했다고 20일 밝혔다.

경찰에 따르면 김수키는 지난해 4월부터 피해업체를 해킹하기 위해 악성 전자우편 공격을 지속해왔다. 올 1월에는 직원 이메일 계정을 해킹해 업체 컴퓨터에 악성코드를 심는 데 성공했다. 이후 원격접속을 통해 업체의 업무 진행 상황, 전자우편 송수신 상황을 실시간으로 들여다봤다. 전 직원의 신상정보도 빼냈다.

김수키는 이를 바탕으로 한·미 연합연습 전투 모의실에 파견될 직원 명단을 확보한 뒤 연말정산 시기인 2월에 맞춰 ‘연말정산 원천징수증’으로 위장한 피싱 메일을 보냈다. 직원 중 일부가 악성코드가 포함된 파일을 내려받았지만, 미국 국방부 보안시스템에 가로막혀 훈련 정보 등은 탈취되지 않았다고 한다. 다만 일부 직원이 해당 악성 이메일을 외부에 있는 개인 이메일 계정으로 재전송해 열람하면서 개인용 컴퓨터가 감염된 사례가 발생했다.

경찰은 이번 사건에 사용된 아이피(IP)가 김수키 소행으로 알려진 2014년 한국수력원자력 해킹 사건에 사용된 IP와 일치하는 것으로 파악했다. 이들이 보낸 연말정산 신고서 이메일 본문에는 ‘염두’가 북한식 어휘인 ‘념두’로 쓰이기도 했다.

경찰은 21일부터 31일까지 예정된 한·미 연합연습을 앞두고 미 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실도 추가로 확인해 현재 조사 중이다.

이가현 기자

국민일보

사회

이메일에 쓴 ‘염두’ 아닌 ‘념두’… 김수키, 한·미 연합연습 직원들 노려