북한 해커조직 김수키(Kimsuky)가 국군방첩사령부, 대검찰청 등 한국 정부 기관을 상대로 해킹을 시도한 정황이 다른 해커들의 해킹을 통해 포착됐다.
12일(현지시간) 정보기술(IT) 전문 매체 테크크런치에 따르면 ‘세이버’(Saber)와 ‘사이보그’(cyb0rg)라는 활동명을 쓰는 두 해커는 북한 해커의 컴퓨터에 침투한 내용을 최근 사이버보안 전자잡지 ‘프랙’(Phrack) 최신호에 실었다.
이들 해커는 자신들이 ‘김’(Kim)이라고 불리는 해커가 쓰던 작업용 컴퓨터에 침투했다고 주장했다. 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 있었고 ‘김’은 북한 정찰총국 산하 해커조직 김수키에 소속된 해커인 것으로 전해졌다. 이들은 파일 설정과 과거 김수키가 사용했던 것으로 알려진 도메인 등 단서를 통해 해커의 소속을 특정했다.
두 해커의 보고서에 따르면 김수키의 피싱 공격 로그 기록에는 방첩사, 대검찰청 등이 포함돼 있었다. 다음, 카카오, 네이버 등 포털사이트 도메인 주소에 접근한 기록, 외교부 이메일 플랫폼의 사본 파일도 발견됐다. 두 해커는 김수키가 사용한 이메일 주소와 해킹 도구, 내부 매뉴얼, 비밀번호 등 데이터를 찾았다고 주장했다. 또 “김수키가 중국 해커들과 얼마나 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다”고 적었다.
‘김’은 평양시각 기준 매일 오전 9시쯤 접속하고 오후 5시쯤 접속을 끊는 패턴을 보인 것으로 전해졌다. 테크크런치는 “이번 사건은 김수키의 내부 활동을 들여다본 거의 전례가 없는 사례”라며 “그간 보안 연구자나 기업들이 주로 데이터 유출 사건을 분석했지만, 두 해커가 직접 해커조직 구성원의 컴퓨터를 해킹한 것”이라고 전했다.
김수키는 북한 정찰총국 산하 해커조직으로 정보수집 임무를 담당한다. 러시아 정보보안업체가 2013년 해커의 이메일 계정이 ‘김숙향’(kimsukyang)이라는 사실을 알아냈고 러시아식으로 김수키로 표기한 보고서를 발표하면서 처음으로 실태가 드러났다. 김수키가 한국 기관을 처음 해킹한 사례는 2014년 한국수력원자력 발전소 도면 유출 사건으로 알려져 있다.
나성원 기자 naa@kmib.co.kr