북한의 해킹조직 ‘김수키(kimsuky)’가 현 정부의 대북 정책 관련 정보를 빼내기 위해 고위 공무원들과 국내 외교·안보 전문가 이메일 계정을 해킹한 것으로 확인됐다. 이 조직은 외교·안보 분야 종사자인 것처럼 위장해 연구나 논문 관련 조언을 구한다는 식으로 접근한 것으로 조사됐다. 김수키는 북한 정찰총국 산하 해킹조직으로 지난해 서울대병원 개인정보 유출 등 과거 여러 해킹 사건의 배후로 지목됐었다.
경찰청 국가수사본부는 김수키가 새 정부 출범을 전후한 지난해 4월 초부터 8월까지 국내 북한 외교·안보 분야 전문가 150명에게 피싱사이트 접속을 유도하는 악성 이메일을 보낸 사실을 확인했다고 7일 밝혔다. 이들 중 전직 장차관급 공무원 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등 9명은 실제 피싱사이트에 접속해 이메일 계정 내 정보를 뺏긴 것으로 파악됐다. 다만 민감한 정보가 해킹조직에 넘어가지는 않았다고 경찰은 전했다.
김수키는 교수, 연구원 등을 사칭해 연구보고서나 논문과 관련해 의견을 구한다며 피해자들에게 접근했다. 피해자가 답장을 보내면 자료를 첨부한 이메일을 다시 보내 피해자가 자료를 내려받도록 하고, 이후 보안 강화로 본인 인증을 해야 문서 열람이 가능하다며 네이버나 구글처럼 꾸민 피싱 사이트로 연결했다고 한다. 피해자가 아이디와 비밀번호를 입력하면 계정 정보를 빼내는 식이다. ‘단 몇 글자 주심에도 책 전체가 탈바꿈한 듯합니다’ 등 감사 답장까지 보내 의심을 차단했다.
경찰은 공격에 사용한 IP주소, 경유지 구축 방법 등을 확인해 김수키를 범행 주체로 지목했다. 공격 대상이 대부분 외교·안보·통일·국방 전문가인 점, 봉사기(서버), 랠(내일), 적중한 분(적합한 분) 등 메일에서 북한 어휘가 다수 발견된 점도 판단 근거가 됐다.
경찰은 김수키가 사용한 국내외 서버에서 가상화폐 지갑 주소 2개를 발견, 이들이 금전 탈취도 시도한 것으로 보고 수사를 이어가는 중이다. 해당 지갑에서는 200만원 상당의 거래가 이뤄진 것으로 파악됐다.
이가현 기자