앵커 : 북한의 해킹 조직으로 알려진 '김수키'의 사이버 공격이 더 정교하게 이뤄지는 것으로 나타났습니다. 해킹 과정에서 비공식 전자우편 계정을 사용하거나 철자 오류 등 많은 결함을 드러냈던 과거와 달리, 요즘은 공식 계정을 사용하고 사칭한 대상으로 실시간 답변까지 하는 등 진화하는 모습을 보이는데요.
특히 이전에는 공격 대상으로부터 정보를 훔치는 것에 주력했다면, 요즘은 오랜 기간 소통하며 쌓은 신뢰를 바탕으로 정보를 공유하는 것에 초점을 맞추고 있습니다. 서혜준 기자가 보도합니다.
북 해킹 조직 ' 김수키 ', 기관 공식 이메일 보고 답변까지
미국의 민간 위성 전문가인 제이콥 보글은 지난 8월 27일, 한국 연세대학교 정치외교학 교수이자 한국 통일부 소속 관리로부터 전자우편(이메일) 한 통을 받았습니다.
전자우편에는 보글에게 ‘연세대 동맹정치학 연구 모임’이 주최하는 연수회(workshop)에 참석해 한미 동맹 등에 관한 견해를 나눠달라는 내용이었는데, 실제 보글과 이메일을 주고받은 사람은 연세대학교 교수를 사칭한 북한 해커였습니다.
보글이 “일정 조율이 어려워 연수회에 참석하지 못한다”라고 답하자 해커는 8월 29일 또 다른 행사에 그를 초대했습니다.
그리고 9월 4일까지 전자우편이 오가는 과정에서 보글은 해커가 전송한 파일을 내려받고 행사 일정과 관련한 링크에 접속하기도 했습니다.
그렇게 해커와 연락을 주고받은 지 약 한 달 후인 9월 16일, 보글은 전자우편의 발신자가 북한의 해킹 조직 ‘김수키’였다는 것을 알게 됐습니다.
그의 컴퓨터 ‘윈도우보안’(Window Security) 시스템이 해커의 전자우편에서 내려받은 세 개의 문서에서 악성코드(Trojan:XML/KimSuky.AZ!MTB)를 발견했고, 이를 통해 김수키의 해킹 공격이라는 것이 밝혀진 겁니다.
[ 제이콥 보글 ] 2017 년부터 최소 열두 번 정도 해킹 공격을 받은 적이 있습니다 . 공격을 받을 때마다 어떤 나라가 공격을 시도했는지에 대한 알림을 받는데 , 전부 북한과 관련돼 있었습니다 .
그는 22일 자유아시아방송(RFA)에, 전자우편의 발신 주소가 암호화 이메일 서비스인 ‘프로톤메일’(ProtonMail)임을 수상하게 여기고, 메일을 받은 당일 해당 교수의 연세대학교 공식 메일로 사실 확인을 요청했다고 밝혔습니다.
그런데 해커는 이 공식 메일까지 접속해 그의 확인 요청 이메일을 보고, 프로톤메일을 통해 답변까지 했다고 보글은 덧붙였습니다.
특히 영어 문법이나 철자 오류 등 의심스러운 부분이 드러났던 과거와 달리, 이번 ‘김수키’의 해킹 공격에서는 어떠한 수상한 점도 발견하지 못했다는 것이 그의 설명입니다.
그러던 중 끝내 해당 교수의 연세대학교 공식 이메일 주소로부터 연락이 왔습니다.
자신이 휴가를 다녀온 사이 본인의 이메일 계정이 유출됐고, 모든 서신은 자신이 관여한 것이 아니었다는 겁니다.
[ 제이콥 보글 ] 이것은 처음 있는 일이었습니다 . 그동안 이런 공격을 받았을 때 , 여러 가지 수상한 요소들이 있었고 , 금방 이들이 가짜라는 것을 알았어요 . 그런데 이번에는 해당 기관의 공식 이메일 주소로 ' 당신이 맞나요 ?' 라고 질의했는데 , ' 맞습니다 ' 라는 답장이 왔습니다 . 그래서 그렇게 우려하지 않았죠 . 북한 해커 ' 김수키 ' 가 기관이나 대학들의 공식 이메일 주소에 접근하는 데 성공했기 때문에 , 그들의 공격은 확실히 더 정교해졌다고 할 수 있습니다 .
이처럼 ‘김수키’가 특정 언론인이나 전문가 등을 사칭한 해킹 공격은 빈번하게 나타나고 있습니다.
최근에도 자유아시아방송 기자라고 속여 정부 관리와 전문가에게 인터뷰를 요청한 메일이 확인됐는가 하면, 한국 KBS 방송의 북한 관련 프로그램 제작자를 사칭한 해킹 공격으로 피해 사례가 발생하기도 했습니다.
<관련 기사>
" 점심 한 끼 하시죠 ", 북 해킹 조직 ' 김수키 ' 의 공격 북 해커 , 북인권대사 사칭 페북서 해킹 시도 북 해커 , IT 업계 구직자 대상 악성코드 공격
" 김수키 , 정보 훔치는 방식에서 정보 공유로 전략 선회 "
북한 해커 조직 ‘김수키’가 과거에는 공격 대상으로부터 원하는 정보를 탈취하는 것이 해킹의 주된 목적이었다면, 최근에는 꾸준히 소통하며 신뢰를 쌓는 것이 특징입니다.
[ 제이콥 보글 ] 제 지난 경험을 되돌아보면 , 북한 해커들이 자주 시도하는 건 그들을 신뢰하게 만들어 악성코드가 담긴 파일을 내려받게 한 후 , 더 이상 연락하지 않는 겁니다 . 그런데 이번 경우에는 2 주 동안 여러 차례 대화를 나눴습니다 . 그들은 단순히 파일을 내려받게 하는 것을 넘어 , 민감한 주제에 관해 대화를 나누며 정보를 얻으려는 것 같았습니다 . 사실상 학계를 정보 출처로 삼는 ' 스파이 활동 ' 이었습니다 . 저뿐만 아니라 다른 여러 사람들도 표적이 됐고 , 이렇게 헌신적으로 대화에 참여하는 수법은 새로웠습니다 .
실제로 보글은 이번 해커가 미국의 동맹과 관련한 결정을 내리는 주요 단체가 어디인지, 2025년 미국의 전략 의제에서 한미 동맹은 어떤 역할을 하게 될지 등에 대해 구체적으로 묻기도 했다고 밝혔습니다.
구글 산하 사이버 보안 기업인 ‘맨디언트’(Mandiant)의 테일러 롱 수석 분석가는 17일 RFA에 “김수키는 정보를 훔치기 위한 방식을 개발하는 대신 이미 잘 알려진 전문가를 사칭해 실제 관계자로부터 북한과 관련된 정보를 공유받는 것이 훨씬 더 쉽다는 사실을 알게 됐다”고 지적했습니다.
특히 그는 “일반적으로 북한이 미사일이나 핵무기 실험과 같은 주요 군사 활동을 계획하기 전후로 김수키가 행동에 나선다”라며 “이같은 활동에 국제사회가 어떻게 대응하는지에 대한 정보를 수집하는 것”이라고 분석했습니다.
이어 롱 수석 분석가는 “‘김수키’의 주목할 만한 전략 중 하나는, DMARC(도메인 기반 메시지 인증, 보고 및 준수), 즉 전자우편을 무단 사용으로부터 보호하고 보안을 강화하기 위한 인증 시스템이 기업 내에서 잘못 구성되거나 취약한 경우를 노리는 것”이라고 설명했습니다.
이럴 경우 북한 해커는 기관이나 기업의 공식 이메일 주소로 계정을 만들어 공격 대상에게 합법적인 전자우편으로 속일 수 있게 됩니다.
보글은 이번 ‘김수키’의 해킹 공격에 여러 가지 목표가 있는 것 같다고 분석했습니다.
우선 한반도 관련 학자와 연구자들이 한미 동맹을 어떻게 바라보고 있는지 이해하고, 북한의 핵 프로그램에 대한 정책을 내다보면서 한국과 미국의 잠재적인 새로운 정책에 대비하려는 의도가 엿보인다고 꼬집었습니다.
[ 제이콥 보글 ] 북한에 유리한 특정 정책을 지원하는 방법을 모색하는 것일 수 있습니다 . 상황을 조작하는 것이죠 . 이는 사람들과 더 깊은 대화를 나눠야지만 가능합니다 . 저는 이번 미국 대선이 이들의 해킹 목적에 큰 부분을 차지하고 있다고 확신하지만 , 최근 한국에서 ' 한국이 핵무기를 개발해야 하는가 ?' 에 대한 여론조사를 했다는 것도 있고 , 북한이 통일 정책과 노력을 중단하고 있다는 점도 눈여겨볼 만합니다 . 지금 , 이 시점에 더 깊이 있는 정보를 얻어야 할 필요성이 더 커졌다고 할 수 있습니다 .
롱 수석 분석가도 “‘김수키’의 주요 목표는 정보를 수집해 북한 지도부와 공유하는 것이며, 미국 대선 이후 정책 변화에도 관심을 가질 것”으로 내다봤습니다.
또 그는 “특히 ‘김수키’는 미국의 대선 유세에 누가 조언하고 있는지, 누가 후보들의 견해를 형성하고 있는지, 외교 정책과 무역, 제재에 대한 미래가 어떻게 될지에도 관심이 있다”라며 “이는 북한이 더 나은 결정을 내리고 사전에 준비하는 데 도움이 될 수 있기 때문”이라고 덧붙였습니다.
현재 보글에 대한 해킹 사건은 미 연방수사국(FBI)이 조사 중입니다.
미 재무부 해외자산통제실(OFAC)은 지난해 12월 김수키를 제재 대상으로 지정했으며, 미 국무부와 국가안보국(NSA), 연방수사국도 지난 5월 김수키의 해킹에 대한 주의보를 발령하기도 했습니다.
해당 주의보는 ‘김수키’가 북한 정찰총국을 지원하기 위해 광범위한 사이버 작전을 수행해 왔다고 지적하면서 그들의 주요 임무는 정책 분석가와 전문가들로부터 지정학적 통찰력이 담긴 정보를 북한 정권에 제공하는 것이라고 설명했습니다.
RFA 자유아시아방송 서혜준입니다.
에디터 노정민, 웹편집 김상일