앵커 : 한국의 통일부를 사칭한 해킹 시도가 포착됐습니다. 한국 내 민간 보안업체는 북한의 소행으로 추정하고 있습니다.
서울의 목용재 기자가 보도합니다.
한국의 외교·안보·국방·통일 등과 관련된 정보를 탈취하는 조직으로 알려진 ‘킴수키’의 소행으로 추정되는 해킹이 또다시 포착됐습니다. 해킹은 타인의 전산망에 들어가 해를 입히는 행위를 의미합니다.
킴수키는 북한의 해킹 조직으로 알려져 있습니다. 지난 2014년 한국의 수사당국은 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 킴수키를 지목한 바 있습니다.
20일 한국 내 민간 보안업체인 이스트시큐리티에 따르면 킴수키는 최근 통일부 정세분석총괄과를 사칭한 해킹 전자우편을 외교·안보·국방·통일 등 관련 분야 종사자들에게 보냈습니다.
킴수키는 전자우편에 ‘참고자료’라는 이름의 한글 파일을 첨부했습니다. 이 문서를 내려 받아 열람하면 ‘정세분석분과 정책건의 참고자료’라는 머리말과 함께 2차 미북 정상회담 이후 한반도 정세를 진단한 내용을 볼 수 있습니다.
이스트시큐리티에 따르면 전자우편에 첨부된 문서를 전자우편으로부터 내려 받아 실행시키면 해커는 해당 컴퓨터에 어떤 자료가 있는지 파악할 수 있게 됩니다.
이스트시큐리티 관계자는 자유아시아방송에 “해커가 컴퓨터를 감염시키면 원하는 특정 자료를 빼갈 수 있다”고 설명했습니다.
이에 한국 통일부는 자유아시아방송에 “통일부를 사칭한 해킹 전자우편이 일반인을 대상으로 배포된 정황이 포착됐다”며 “통일부는 한국 국가사이버안전센터, 한국인터넷진흥원 등 유관기관에 상황을 전파해 피해예방 조치를 취했다”고 밝혔습니다.
해킹에 활용된 문서는 통일부 자료가 아니라는 입장도 밝혔습니다.
한국 내 보안업계는 최근 킴수키가 한국의 외교, 안보와 관련된 정보 수집에 열을 올리고 있다고 지적합니다.
이스트시큐리티는 이번 해킹을 분석한 보고서를 통해 “이들은 한반도의 정치상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있다”며 “마치 신뢰할 수 있는 한국의 정부기관이 보낸 내용처럼 사칭해 사람들을 현혹시킨다”고 분석했습니다.
이스트시큐리티와 ‘NSHC’ 등 한국 내 민간 보안업체들은 지난 1월 한국 통일부 기자단을 대상으로 이뤄진 해킹과 ‘2019년 북한 신년사 평가’라는 한글 문서를 활용해 이뤄진 해킹도 킴수키의 소행으로 추정하고 있습니다.
당시 한국 통일부는 “해킹 정황에 대해 관계기관 간 공조를 통해 조사 중”이라며 북한 소행 여부에 대해서는 “수사 결과를 지켜봐야 할 것 같다”는 입장을 내놓은 바 있습니다.
지난해 판문점에서 열린 남북 정상회담과 1차 미북 정상회담 사이의 기간인 5월에 ‘종전선언’이라는 한글 문서로 해킹을 감행한 조직도 킴수키로 추정됩니다.
이스트시큐리티 관계자는 “킴수키는 한국의 문서작업 프로그램인 ‘한글’의 취약점을 주로 활용하는 경향이 있다”고 분석했습니다.
한국 내 전문가들은 2차 미북 정상회담이 결렬된 이후 북한이 다음 행보나 협상 전략을 세우기 위해 다양한 정보가 필요할 것이라는 분석을 내놓습니다.
윤봉한 국가안보전략연구원 책임연구위원 : 킴수키의 경우 정보수집, 한국 국민들의 여론 분열 등을 목적으로 하는 북한의 해킹 집단으로 보고 있습니다. 결국 한미 공조에 관한 정보 파악에 가장 큰 목적이 있는 것이 아닐까 생각합니다.
윤 책임연구위원은 배후에 북한이 있을 것으로 추정되는 여러 해킹 조직들의 활동 영역이 점차 모호해지는 경향이 있다는 점도 지적했습니다.
윤 책임연구위원은 “과거 킴수키, 라자루스 등 조직들의 활동영역은 명확했다”면서 “최근에는 각 조직 간의 인력 이동이 있었는지, 공격 기법을 공유하는지는 모르겠지만 자신들의 해킹 실태를 수사당국이나 보안업체 등에서 잘 파악하지 못하도록 융합된 활동 형태를 보이고 있다”고 분석했습니다.