안보 전문가 해킹도 北 '김수키' 소행...'금전 탈취' 시도 정황

지난해 대선 정국 전후 벌어진 안보 전문가 대상 악성 전자우편 유포 사건의 배후가 북한 해킹조직으로 드러났다. 

특히 김수키는 그동안 외교·안보 정보 탈취 목적을 위해 해킹 시도를 해왔으나 이번 사건에서는 금전 탈취 정황도 포착됐다. 

경찰청 국가수사본부 안보수사국은 지난해 4~7월 윤석열 정부 출범 기간에 안보 주요 관계자 150명에게 발송된 악성 전자우편 사건을 수사한 결과 '김수키'(Kimsuky) 등 북한 해킹조직의 소행으로 확인됐다고 7일 밝혔다.

이들은 국내외 해킹을 통해 138개(국외 102개, 국내 36개) 서버를 장악해 해킹 공격을 위한 기반을 확보한 것으로 드러났으며 아이피(IP) 주소를 세탁하는 방식으로 추적을 피한 것으로 조사됐다.

먼저 이들은 통일‧안보 전문가 등을 사칭해 전현직 고위공무원, 대학교수, 외교‧통일‧국방 전문가 등에게 책자 발간이나 논문 관련 의견을 요청하는 내용 등으로 악성 전자우편을 발송했다. 

이후 피해자에게서 회신이 올 경우 '추가 인증'을 요구하며 피싱 사이트 접속을 유도, 계정 정보를 탈취했다. 

이 사건의 피해자는 총 9명으로 김수키 등은 이들의 송수신 전자우편을 실시간으로 확인해 첨부 문서와 주소록 등을 빼갔다. 

경찰이 이번 사건을 '김수키' 소행이라고 판단한 근거는 ▲아이피 주소 ▲경유지 구축 방법 ▲북한식 어휘 문구 ▲공격 대상이 외교‧통일‧안보‧국방 전문가인 점 등이다. 

'김수키'는 해킹 과정에서 '봉사기'(서버), '랠 쯤에'(내일 쯤에), '적중한 분'(적합한 분) 등의 북한식 어휘를 사용한 것으로 알려졌다. 

특히 경찰은 김수키가 금전 탈취를 시도한 정황도 포착했다. 경찰은 "김수키가 그동안 정보 탈취 공격에 집중했으나 이번 수사를 통해 공격 서버에서 이들이 사용한 가상자산 지갑 주소를 발견했다"며 "금전 탈취 시도를 하고 있는 것으로 보고 추적 수사를 진행 중"이라고 설명했다. 

또 "북한의 해킹 시도가 지속적으로 이어질 것으로 보인다"며 "전자우편 비밀번호의 주기적 변경과 본인 인증 설정 강화, 해외 접속 차단, 의심스러운 전자우편 재확인 등 보안 조치를 강화해 달라"고 당부했다. 

한편 김수키는 지난 2021년 5~6월 발생한 서울대병원 개인정보 유출사건의 배후로도 지목됐다. 김수키는 당시 국내외 서버 7대를 통해 서울대병원 내부망에 침입해 환자 등 약 83만명의 개인정보를 빼간 바 있다.