또 출몰한 킴수키… 北, 외교·안보 인사 90명 이메일 공격

북한 관련 기관에서 일하는 공무원과 교수 등 우리 외교·안보 인사들의 이메일 계정 56개가 해킹당한 것으로 드러났다. 2014년 한국수력원자력(한수원)을 해킹한 북한 해킹조직이 벌인 일로 추정됐다.

지겨운 그 이름 ‘킴수키’

대검찰청은 북한 해킹조직으로 추정되는 단체가 지난 1월 12일부터 6월 16일까지 총 27개의 피싱 사이트를 개설해 외교부·통일부·국방부는 물론 북한 관련 연구소 종사자들의 56개 이메일 계정과 비밀번호를 탈취했다고 1일 밝혔다. 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱) 공격을 통한 이메일 계정 탈취 시도가 있었다는 신고를 받고 수사한 결과다.

해킹조직은 우리나라의 무료 도메인 호스팅(대여)업체 서버를 이용해 외교부와 방위산업체, 구글, 네이버 등의 가짜 사이트를 만들었다. 이후 각 기관의 보안담당자를 가장해 해당 기관 종사자들에게 “비밀번호가 유출됐으니 확인 바란다”는 이메일을 전송했다. 이메일 본문에 있는 인터넷 주소를 누르면 비밀번호를 변경하는 창이 띄워졌다. 이런 방식으로 90개 이메일 계정 가운데 56개의 비밀번호를 빼냈다.

검찰은 이들이 2014년 한수원을 해킹한 북한 해킹조직이라고 추정했다. 한수원 사건 때의 웹호스팅 업체를 똑같이 이용했다. 한수원 사건 당시 발견된 ‘킴수키(Kimsuky)’ 악성코드도 발견됐고, 사용된 인터넷 프로토콜(IP)도 중국 선양(瀋陽) 지역으로 같았다. 이외에도 보안 공지를 위장한 피싱 이메일의 내용, 피싱 사이트 웹 소스코드, 탈취 계정 저장파일 형식 등이 동일했다는 게 검찰의 설명이다.

북한 사이버전(戰) 능력은…

북한은 1990년대 초부터 체계적으로 ‘사이버 전사’를 양성해 현재 6000여명의 사이버전 전문인력을 운용하고 있다. 조현천 국군기무사령관은 지난달 7일 열린 제14회 국방정보보호·암호콘퍼런스 개회사에서 “북한은 세계 최고 수준의 사이버전 역량을 보유하고 있는 것으로 알려져 있다”며 “(북한의) 사이버전 유형이 점점 진화하고 대담해지고 있다”고 말했다.

북한은 군과 노동당 산하 7개 조직에 전문해커 1700명을 보유하고 있고, 이들을 지원하기 위해 13개 조직에서 전문인력 4300여명이 활동하고 있다. 사이버전은 정찰총국이 지휘하고 있는 것으로 알려져 있으며, ‘121국’으로 불리는 정찰총국산하 전자정찰국이 사이버 공격을 전담하고 있다. 정찰총국과는 별도로 1만명 규모의 사이버전략사령부 창설을 준비 중인 것으로 전해졌다.

북한의 사이버 전력은 김정은 노동당위원장 시대에 들어 크게 증가한 것으로 알려졌다. 김 위원장은 2013년 8월 군 간부들에게 “사이버 공격은 핵·미사일과 함께 우리군의 만능의 보검”이라며 사이버 공격능력 강화를 주문했다.

또 북한은 영재들을 어릴 때부터 선발해 집중적인 사이버전사 양성교육을 실시하고 있다. 평양의 과학영재학교인 금성 1·2중학교에서 컴퓨터 교육을 받은 영재들은 김일성 군사대학, 지휘자동화대학, 김책공과대학 등에 진학해 본격적인 사이버전사로 육성된다. 이들은 대학 졸업 후 북한의 주요 사이버전 수행기구에 배치돼 다양한 사이버 공격을 수행한다. 일부는 중국과 말레이시아 캄보디아 라오스 등에 외화벌이 일꾼으로 위장 파견돼 평시에는 도박·게임사이트를 운영하거나 도박프로그램을 판매하다가 지령이 떨어지면 해킹 등 사이버 공격에 나서는 것으로 알려져 있다.

이경원 기자, 최현수 군사전문기자 neosarim@kmib.co.kr