'연말정산' 위장해 한미연합연습 노린 사이버 공격, 북한 '김수키' 소행

노트북 화면에 북한 인공기와 악성 소프트웨어 경고가 떠 있는 모습

북한 해킹조직 ‘김수키(Kimsuky)’가 연말정산을 위장한 악성 이메일을 이용해 한미연합연습을 겨냥한 사이버 공격을 시도한 정황이 확인됐다.

경기남부경찰청 안보수사과는 한미연합연습 전투모의실에 파견된 국내 전쟁모의연습(워게임, War Game) 운용업체 직원들을 대상으로 올해 2월부터 발송된 악성 전자우편 사건을 수사한 결과, 김수키의 소행으로 파악됐다고 20일 밝혔다.

경찰은 악성 이메일 내용 중에 ‘염두’라는 표현이 북한식 어휘인 ‘념두’로 쓰여있는 점, 사용된 아이피(IP) 대역이 지난 2014년 ‘한국수력원자력 해킹 사건’에서 확인된 IP 대역과 일치하는 점 등을 토대로 이같이 판단했다.

김수키의 사이버 공격으로 워게임 운용업체 직원들의 일부 자료가 북한에 넘어갔지만, 군 관련 정보의 유출은 없는 것으로 확인됐다.

한미연합연습 전투모의실은 컴퓨터 시뮬레이션에 의한 가상 전투를 치르고 전황을 분석하는 곳으로, ‘워게임’으로 불리는 가상 전투 시나리오는 Ⅱ급 기밀로 분류돼 철저히 통제 관리되고 있다.

김수키는 지난해 4월부터 이 워게임 운용업체를 해킹하기 위한 공격을 지속했다. 결국 지난 1월 해당 업체 소속 행정직원의 이메일 계정을 탈취하고 업체 컴퓨터에 악성코드를 심는 데 성공했다.

이후 원격접속을 통해 피해업체 전 직원의 신상정보, 업무 진행 상황 등 여러 자료를 탈취했다.

김수키는 이 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 이메일을 주한미군 전투모의센터에 파견된 업체 직원들을 대상으로 발송했다. 이를 수신한 직원들이 미 국방 전산망에서 첨부 문서를 실행할 경우 해킹이 이뤄지도록 한 것.

경찰은 보안시스템에 의해 악성코드가 차단되어 군 관련 정보는 탈취되지 않았다고 밝혔다. 다만 일부 직원들이 해당 이메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 것으로 확인됐다.

경찰은 미군 수사기관과의 정보 공유를 통해 피해를 확인한 후 추적 수사 및 피해 보호조치를 진행해 왔으며, 피해업체 컴퓨터 악성코드 감염 여부 점검 및 한미연합연습 참여 근무자 대상 보안교육을 실시했다고 밝혔다.

한편 경찰은 오는 21일부터 31일까지로 예정된 한미연합 군사연습 ‘을지 프리덤 실드(을지 자유의 방패, UFS)’를 앞두고 지난 7월 미 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인했다. 이와 관련해 미군 수사기관과의 공조 수사를 진행 중이다.

이상현 경기남부경찰청 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료 유출을 예방한 사례”라며 “앞으로도 국가 안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해 나갈 계획”이라고 말했다.

'김수키'는 누구?

김수키는 북한 정찰총국 소속으로 알려진 해킹그룹이다.

북한 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하는 것으로 파악된다. 악명 높은 해킹 그룹 라자루스(Lazarus)도 정찰총국 소속이다.

김수키는 유명인을 사칭해 한국의 공공기관은 물론 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 여러 차례 해왔다.

지난해 태영호 의원실과 대통령직 인수위원회 출입기자 등을 사칭하며 악성 프로그램이 숨겨진 이메일을 보낸 것으로도 알려져 있다.

한국 정부는 지난 6월 2일 세계 최초로 김수키를 대북 독자제재 대상에 올리기도 했다.