정부 “北해커조직 김수키, 위성기술 탈취” 독자제재

北 위성발사 이틀만에 제재조치

정부가 2일 인공위성과 우주개발 기술 탈취 등에 관여한 북한 정찰총국 산하 해커조직 ‘김수키(Kimsuky)’를 독자 제재 대상으로 지정했다. 북한이 군사정찰위성 ‘만리경-1호’를 탑재한 우주발사체 ‘천리마-1형’을 쏜 지 이틀 만에 나온 조치로, 추가 위성 발사를 예고한 북한에 정면으로 경고장을 날렸다. 한미 양국은 정부 합동 보안 권고문을 내고 “김수키가 사람 간 신뢰·사회적 관계를 이용해 비밀 정보를 획득하고 있다”며 주의를 당부했다.

외교부는 이날 “김수키를 비롯한 북한 해커조직들이 전 세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단 기술을 훔쳐 위성 개발에 직간접적으로 관여했다”고 밝혔다. 정부는 김수키의 가상자산 지갑 주소도 식별 정보로 제재 명단에 올렸다. 김수키를 독자 제재한 건 한국이 처음이다. 한국의 대북 독자 제재는 윤석열 정부 출범 후 8번째다. 지난해 10월 이후엔 북한의 기관 45곳, 개인 43명이 정부 독자 제재 명단에 올랐다.

10여 년 동안 세계 각국을 상대로 사이버 공격을 해온 김수키는 해외에서도 유명한 해커집단이다. 정부가 김수키 소행으로 확인한 대남 사이버 공격만 4건이다. 2014년 한국수력원자력 문서 유출, 2021년 서울대병원 개인정보 유출 사건 등이 대표적이다.

北 ‘김수키’, 군사-에너지 기밀 등 노려 해킹… 한미 “출처 불명 메일 주의” 합동 보안권고

정부, 北해커조직 제재

정부가 2일 북한 정찰총국 산하 해커조직 ‘김수키(Kimsuky)’의 가상자산 지갑 주소도 식별 정보로 함께 공개한 건 최근 김수키가 중소기업에 랜섬웨어를 유포해 시스템을 마비시킨 뒤 비트코인을 받고서야 풀어주는 등 가상자산을 노린 사이버 범죄들이 빈번해졌기 때문이다. 외교부 당국자는 “지갑 주소가 관보에 게재되고 민간 정보기술(IT) 보안업체 등에 공유되면 북한의 다른 가상자산 지갑 주소들도 더 찾아낼 수 있을 것으로 생각한다”고 밝혔다.

김수키는 기자, 학자, 연구자 등을 사칭해 전 세계 정부·정치계·학계·언론계 등 분야를 가리지 않고 주요 인사를 대상으로 이른바 ‘스피어 피싱’이라는 맞춤형 사이버 공격을 감행하는 조직으로 유명하다. “통일부 ○○○과입니다” 등 제목의 e메일을 싱크탱크 연구원에게 보내 외교안보 현안에 대한 원고를 요청하거나 “정책자문위원 참고자료 보내드립니다”라며 악성 프로그램이 깔린 첨부 파일을 보낸 뒤 피해자가 이를 열면 컴퓨터 내 각종 파일과 개인정보를 탈취하는 식이다. 이렇게 공격해 얻어낸 정보는 북한 정권에 제공된다. 한미 정부는 이날 23쪽짜리 합동 보안 권고문에서 이 같은 김수키의 범행 수법들을 나열하며 “출처가 확인되지 않은 e메일 등에 대해 주의를 강화하고 강력한 암호 설정 및 다단계 인증 등 계정 보호 조치를 권고한다”고 했다.

앞서 4월 공개된 유엔 안전보장이사회 산하 대북제재위원회 전문가패널 보고서에 따르면 김수키는 군사·에너지·인프라 분야를 공격 대상으로 삼고 해당 분야에서 활동하는 업체들의 기밀 정보도 노려왔다. 보고서는 김수키가 ‘애플시드’라는 악성 소프트웨어를 구매주문서나 신청서 등으로 위장해 군사 기지 보수업체와 원자력발전소 관련회사 등에 배포한 뒤 피해자 계정 정보는 물론이고 컴퓨터 폴더와 파일까지 빼냈다고 밝혔다.

신나리 기자 journari@donga.com