앵커 : 북한의 사이버위협은 '두더지게임'과 비슷합니다. 망치로 머리를 계속 내리쳐도, 이곳저곳에서 계속 해킹시도는 멈추지 않기 때문입니다. RFA 자유아시아방송은 근절되지 않고 있는 북한의 사이버 위협을 세 차례에 걸쳐 심층 보도합니다. 오늘은 첫 번째 순서로 북한의정보 수집 해킹조직인 '김수키'의 활동을 박재우 기자가 살펴봤습니다.
[신각수 전 대사] 스팀슨센터에서 북핵 관련해서 논문이 기고가 됐다고, 검토해 달라는 데참여해 달라고 해서 내가 그 파일을 열어서 검토를 해서 보내줬고…. 검토한 거에 대해 의견까지 왔어요. 그런데, 얼마 뒤 구글에서'해킹을 당한 것 같다'고 연락이 와서 알게됐습니다.
신각수 전 주일 한국대사는 지난 6월 미국 민간연구단체인 스팀슨센터 나탈리 슬라브니 연구원으로부터 이메일 한 통을 받았습니다.
논문을 검토해 달라는 요청에 아무 의심없이 첨부된 파일을 열어 검토 의견까지 보낸 뒤 한참 뒤에야 해킹당한 걸 알게됐고 결국 계정과 컴퓨터 데이터를 모두 삭제해야 했습니다.
그가 받은 이메일은 슬라브니 연구원이 보낸 게 아니라 ‘스피어피싱’방식 즉, 사칭 이메일로 북한 해킹조직‘김수키’가 사용해온 전형적인 수법이었습니다.
슬라브니 연구원은 사건 직후 (6월 20일) 자유아시아방송(RFA)에 자신을 사칭한 이메일이 많이 배포되고 있다고 설명했습니다.
[슬라브니 연구원] 지난해 말부터 올해 초까지 북한 해커들은 저를 사칭해 논문 리뷰를 요청하고 다녔습니다. 제가 북한문제를 다루는 홈페이지'38노스'부편집장으로서 맡은 역할은 많은 다른 분석가들과 접촉하고 연락하기 때문에 (저를 사칭한 공격은) 일리가 있다고 생각합니다.
이번 사건처럼 최근 들어 북한 해킹조직이 미국 정책연구소 연구원들을 위장해 미국과 한국 외교안보 인사들을 대상으로 한 공격이 늘어나고 있습니다.
자유아시아방송이 슬라브니 연구원을 사칭한 이메일을 포함해 북한 해킹조직이 목표로 삼았던 미국과 한국의 전문가로부터 직접 수집한 이메일12건을 분석한 결과북한 해킹조직'김수키'의 수법과 악성코드가 발견됐습니다.
지능적인 방법으로 지속적으로 보안 위협을 가한다는 의미의 ‘APT(Advanced Persistent Threat, 지능형 지속위협)'로 구글 산하 보안업체인 맨디언트사가 43번째로 확인한 해킹그룹이라는 의미에서‘APT43’으로도 불리는 북한 해킹 조직 김수키는 북한군 정찰총국 산하로 외교ㆍ안보ㆍ국방 등 분야 개인ㆍ기관으로부터 첩보를 수집하는 조직으로 알려져 있습니다.
‘김수키(Kimsuky)’라는 이름은 이 그룹의 공격을 처음 보고한 국제 보안기업 카스퍼스키가붙였습니다. 첫피싱 메일이 '김숙향 (Kimsukyang)' 계정에서 발송됐기때문입니다.
구글 산하 사이버 보안 기업인 맨디언트의 마이클 반하트(Michael Barnhart) 수석분석가는 자유아시아방송에 “분석 결과 해당 이메일들은‘김수키’가 보낸 것으로 보인다”고 설명했습니다.
자유로운 논의를 위해 익명을 요구한 다른 사이버 안보 전문가도 “이들이 보낸 악성코드가 모두 이전에 북한이 보냈던 악성코드와 일치한다”고 평가했습니다.
역시 해커로부터 자신의 신분을 도용당한 카네기국제평화재단 핵 정책 프로그램의 제이미 쾅(Jamie Kwong) 연구원도 지난 5월 26일 재단으로부터 북한 해킹 조직‘김수키’가 자신을 사칭하고 다닌다는 이야기를 들었다고 말했습니다.
[제이미 쾅 연구원] 작년 12월, 저희 재단 IT팀은 제게 APT 43(김수키)이라는 북한 단체가 저를 사칭하고 있다는 이메일을 보내왔고, 두 번 정도 반복되었다고 경고했습니다.
그는 ‘김수키’가 워싱턴 조야의 활동 방식까지 잘 파악하고 있는 것 같다고 말했습니다.
예를 들면, 연구기관에서는 선배 연구원이 이메일을 통해 후배 연구원을 소개시켜주는 경우가 흔한 일인데 자신을 사칭한 이메일이 이런 방식을 활용했다고 설명했습니다.
[쾅 연구원] 북한 해커들은 저를 사칭해 학계와 연구소의북한 분석가들과 전문가들에게제가 작성했며논문을 검토해달라고 요청했습니다. 저는 이를 듣고 꽤 교활하다고 생각했습니다. 학계와 연구소에서는 선배 학자가 친분을 이용해후배 학자를 소개하는 것은 꽤 자주 일어나는 일입니다.
북한 해킹조직들은 이같은 활동을 통해 정보를 얻고 사실상 북한의 워싱턴 주재 대사관의 역할을 수행하고 있다고 쾅 연구원은 평가합니다.
[쾅 연구원] 그들은 워싱턴이 어떻게 돌아가고 있는지 알고 있죠. 정책연구소 직원들이 대사관에서 근무하는 사람들과 점심을 함께 하는 것은 꽤 흔한 일입니다. 이를 통해 대사관이 생각하는 문제에 대한 인식을 얻게 됩니다. 북한은 (워싱턴에) 대사관이 없어 그렇게 할 수 없기 때문에, 그들은 연구소들이 이러한 기능을 제공한다는 아이디어를 얻은 것 같습니다. 그리고 우리가 실제로 어떻게 협력하는지에 대해서도 그들은 알고 있는 것 같습니다.
미국의 민간 정보분석업체 '레코디드 퓨처'는 6월 23일' 북한의 사이버 전략'보고서를 발간하고 지난 14년 간 북한 해킹 조직의 해킹 공격 중 정보 수집 등 '첩보 활동(Espionage)'이 약 180건 이상으로 전체의 71.5%를 차지했다고 밝혔습니다.
이어 ‘금전적 동기’에 따른 공격은 50여건, ‘교란 및 파괴 활동’은 10건 정도였습니다.
이 기간 공격 활동이 가장 많이 보고된 북한의 해킹 조직은 '김수키'로 전체의 37%를 차지했고 '라자루스', 'APT37' 등이 뒤를 이었습니다.
마이클 반하트 맨디언트 수석분석가와 사이버 보안업체인 시스코 탈로스(Cisco Talos)의 애쉬어 말호트라(Asheer Malhotra)위협분석가 등 미국의 사이버 보안 전문가들은 북한‘김수키’의 활동을 면밀히 지켜봐왔습니다.
이들은 이 조직이 기자, 전문가를 사칭해 정부관계자, 정책연구소 연구원에게 접근해 신뢰를 쌓고 경계심이 사라지면, 악성코드가 포함된 파일을 퍼트린다고 설명했습니다.
[애쉬어 분석가] 그들이 사용하는 일반적인 전술 중 하나는 신뢰 관계를 이용해 사람을 속이고 비밀 정보를 획득하는 기법인 '사회공학적 기법'과'스피어 피싱'(사칭 이메일)입니다. 이는 해킹 대상이나 대상의 컴퓨터 또는 장치에 대한 초기 액세스 권한을 얻기 위한 것입니다. 김수키는 사회공학적 기법에 많이 집중하는 경향이 있습니다. 그들은목표물에이메일로 보낼 것이고, 여러 이메일을 보낼 것입니다. 그들은 그들로부터 대화를 만들고, 질문지를 보낼 것입니다. 이것은 모두 그들과 신뢰를 쌓기 위한 것입니다
[마이클 분석가] 우리는 그들(김수키)을 정보 수집가로 평가합니다. 그들은 실제로 작전을 수행하기 위해 존재하는 것도 아니고, 탈취를 위해 존재하는 것도 아닙니다. 그들이 거기에 있는 이유는 외부에서 무슨 일이 일어나고 있는지 알아내는 것입니다. 그래서 그들은 정찰총국 지도자들에게 그것을 제공할 수 있을 것입니다.
‘김수키’가 해킹을 하는 주요 목적이 미국 조야의 분위기를 파악해 북한군 정보기관인 정찰총국에 보고하기 위해서라는 겁니다.
지난 6월 1일미국 연방수사국(FBI)∙국무부∙국가안보국(NSA)과 한국 외교부∙국가정보원∙경찰청이'김수키'의 위협에 대응하기 위해 펴낸' 사이버 안보 합동권고문'에도 이런 정황이 담겼습니다.
권고문은 “북한 정권과 연계된 사이버 행위자들이 전 세계의 연구소와 학술기관, 언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격을 벌이는 데 대한 경각심을 높이기 위해 합동 주의보를 발표한다”고 밝혔습니다.
정 박 미국 국무부 대북특별부대표는 6월 29일 자유아시아방송과 인터뷰에서 북한‘김수키’의 위협에 대응하기 위해 한미 양국은 함께 일하고 있다면서, 관련 분야 인사들에 권고문 일독을 권했습니다.
[박 특별부대표] 저는 산업계에서 학계, 언론, 싱크탱크에 이르기까지 모든 사람들에게 북한의 활동이 초래하는 위협에 대해 경각심을 주기 위해 이 권고를 읽어볼 것을 강력히 권고합니다. 정교한 (북한 김수키의) 스피어 피싱 시도들이 있었습니다. 우리는모든 사람들에게 북한의 매우 정교한 노력을 경고하기 위해 함께 일했습니다.
에디터 박정우, 영상 유형준, 웹팀 이경하