장관 메일 훔쳐본 北해킹조직 `김수키`

입력: 2023-06-07 13:20 강현철 기자

폰트

기자 구독

외교·안보전문가 150명에 메일
봉사기·랠 등 북한식 어휘 들통

박현준 경찰청 안보수사국 첨단안보수사계장이 7일 오전 서울 서대문구 경찰청 안보수사국에서 북한 해킹메일 유포사건 수사 결과를 브리핑하고 있다. 연합뉴스

지난해 국내 외교·안보 분야 관계자들에게 대량 유포된 '피싱 메일'이 북한 해킹조직 '김수키'의 소행으로 파악됐다. 7일 경찰청 국가수사본부에 따르면 김수키는 지난해 4∼7월 남한 외교·안보 전문가 150명에게 피싱 사이트 접속을 유도하는 악성 전자우편을 발송했다.

실제 피싱 사이트에 접속해 계정정보를 뺏긴 피해자는 전직 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등 모두 9명으로 확인됐다.

김수키는 2014년 한국수력원자력 해킹 사건으로 유명세를 산 북한 해킹조직이다. 세계 곳곳에서 암호화폐도 탈취하고 있다. 우리 정부는 지난 2일 김수키를 독자 대북제재 명단에 올렸다. 지난해 5월 국민의힘 태영호 의원실 비서 명의로 외교·안보 전문가들에게 발송된 피싱 메일도 이들의 소행인 것으로 최근 확인된 바 있다.

김수키는 전직 고위 공무원 등 피해자들의 메일 송·수신 내역을 4∼9개월간 실시간 모니터링하며 첨부문서와 주소록 등을 빼낸 것으로 조사됐다. 다만 탈취된 정보 중에 기밀자료는 없는 것으로 확인됐다고 경찰은 전했다.

김수키는 남한 내 36개, 국외 102개 등 모두 138개 서버를 해킹으로 장악한 뒤 인터넷 프로토콜(IP) 주소를 세탁해 피싱 메일을 발송했다. 해킹한 서버를 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 서로 다른 용도로 사용해 추적을 교란하는 치밀함도 보였다. 경찰과 국가정보원은 피싱 메일 5800여개 분석으로 공격 근원지 IP 주소와 경유지 구축 방식 등을 확인한 끝에 김수키를 범행 주체로 지목했다.

'봉사기'(서버)나 '랠'(내일), '적중한'(적합한) 등 북한식 어휘나 문구 사용도 결정적 근거가 됐다.

경찰은 이번 수사로 김수키를 비롯한 북한 해킹조직의 새로운 4단계 공격수법을 파악했다고 밝혔다. 우선 교수나 연구원 등을 사칭해 책자 발간 또는 논문 관련 의견을 요청하는 메일을 보내 접근했다. 이후 피해자가 답장을 보내면 본인 인증이 필요한 대용량 문서 파일을 첨부해 메일을 다시 발송했다. 피해자가 본인 인증을 위해 피싱 사이트에 접속하면 계정정보가 이들에게 자동으로 넘어갔다. 정보를 빼낸 뒤에는 감사하다는 내용의 답장을 발송해 의심을 차단했다.경찰청 관계자는 "피해 사실을 인지하고 경찰이나 수사기관에 알린 피해자는 없었다"며 "경찰이 연락하기 전까지 대부분 피해를 당한 사실도 몰랐다"고 말했다.

경찰은 김수키가 사용한 국내외 서버에서 가상자산 지갑 주소 2개가 발견됨에 따라 금전 탈취도 시도한 것으로 보고 계속 수사 중이다. 이들 지갑에선 200만원 상당의 거래가 이뤄진 것으로 전해졌다.경찰청 관계자는 "안보 분야 관계자를 대상으로 북한의 해킹 시도가 이어질 것으로 전망되므로 보안 조치를 강화해달라"고 당부했다. 강현철기자 hckang@dt.co.kr

이준일 외교부 북핵기획단장과 최현석(오른쪽) 경찰청 사이버수사국장이 2일 오전 서울 종로구 외교부에서 북한 정찰총국 산하 해커 조직 '김수키'를 독자 대북 제재 명단에 올린 것과 관련한 브리핑을 하고 있다. 김수키는 한국수력원자력, 한국항공우주산업 등을 해킹한 것을 포함해 국내 무기와 인공위성, 우주 관련 첨단기술을 절취한 유명 해킹 공작 조직이다. 연합뉴스

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

장관 메일 훔쳐본 北해킹조직 `김수키`

이 시간 핫클릭

핫 이슈!