올해 2월 국내 소프트웨어 보안업체 A사 직원 B씨는 담당 세무법인으로부터 연말정산 관련 메일을 받았다. 세무법인은 "연말정산 자료에서 오류가 생겼다"며 첨부된 파일을 다운받아 확인해 달라고 했다.
B씨는 이미 여러 차례 세무법인과 메일을 주고받았기 때문에 의심없이 파일을 다운받아 확인 후 회신했다. 이후 세무법인으로부터 "계산상 착오가 있었던 것 같다"는 답장이 왔다. 메일 내용 중에는 '념두'라는 북한어가 적혀 있었지만, B씨는 오타 정도로 생각했다.
하지만 메일을 보낸 곳은 세무법인으로 위장한 북한 해킹조직 '김수키'. 김수키는 한미연합연습에 투입된 A사를 대상으로 지난해부터 사이버 공격을 진행해온 것으로 드러났다. 김수키는 A사 직원들과 장기간 메일을 주고 받으며 신뢰관계를 쌓는 방식으로 사이버 공격을 해온 것으로 파악됐다.
경기남부경찰청 안보수사과는 북한 해킹조직 '김수키(Kimsuky)'의 해킹 공격 사실을 확인하고 미군과 공조수사를 벌이고 있다고 20일 밝혔다.
북한 정찰총국 산하 해킹조직인 김수키는 지난해 4월부터 올해 2월까지 한미연합연습에 파견된 국내 소프트웨어 보안업체 A사에 악성코드를 심은 이메일을 발송하는 등 해킹 공격을 한 것으로 조사됐다.
김수키는 미군의 기밀자료 등을 탈취하기 위해 한미연합연습 전투모의실에 파견된 A사에 접근한 것으로 파악됐다. 김수키는 지난해 4월 A사 대표의 이메일을 해킹해 직원들의 신상정보와 이메일 등을 확보했다.
이어 연말정산을 담당하는 세무법인 소속으로 위장, A사 직원들에게 여러 차례 메일을 보내며 의심을 피했다. 실제 연말정산이 이뤄지는 올해 2월에는 악성코드를 심은 '원천징수 영수증' PDF 파일을 A사 직원들에게 보냈다. A사 직원들은 김수키와 이미 여러 차례 메일을 주고 받았기 때문에 실제 세무법인 소속이라고 생각하고 의심없이 악성코드를 다운받았다.
김수키는 이렇게 A사 직원들의 개인PC를 해킹했지만, 미군의 정보까진 탈취하지 못한 것으로 확인됐다. 미군과 합동근무를 하고 있는 A사 직원들이 미군 내부망에 접속한 상태로 파일을 다운받았지만, 미군 보안시스템에 의해 악성코드가 자체적으로 차단됐기 때문이다.
경찰과 미군 수사기관은 해당 공격에 사용된 IP가 김수키가 지난 2014년 한국수력원자력을 해킹해 원전 도면을 탈취했을 당시 사용한 IP와 같다는 사실을 확인했다. 또 공격의 유사성이나 메일에 북한식 어휘('염두'를 '념두'로 표기)를 사용한 점, 한미연합연습 시기에 맞춰 공격한 점 등을 종합적으로 판단해 김수키의 범행이라고 결론내렸다.
김수키는 북한 정찰총국 산하 공작부대로 전세계 군사나 외교, 인프라 등의 기밀정보를 북한 정권에 제공하고 있는 것으로 알려져 있다. 당국은 2014년 한국수력원자력 도면 유출, 2016년 국가안보실 사칭 메일, 2021년 서울대병원 개인정보 해킹 사건 등을 김수키의 대표적인 사이버 공격으로 보고 있다. 정부는 지난 6월 김수키를 세계 최초로 대북 독자제재 대상으로 지정한 바 있다.
올해 을지연습을 한 달여 앞둔 지난달에도 미 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송됐는데, 경찰과 미군은 이것 또한 김수키의 소행으로 판단하고 공조수사를 이어가고 있다.
이상현 경기남부경찰청 안보수사과장은 "한미간 유기적인 협업과 선제조치로 주한미군의 자료유출을 예방했다"며 "경찰은 관계기관과 함께 북한의 사이버 공격에 적극적으로 대응할 것"이라고 말했다.