美 FBI ‘北킴수키’ 수사 나설듯

北해커조직 유엔본부 해킹 파장

북한의 해커 조직 ‘킴수키’가 수년간 우리 외교안보 분야 공공기관뿐 아니라 미국 뉴욕에 있는 유엔본부까지 전방위로 해킹해온 사실이 18일 확인돼 미국 연방수사국(FBI)까지 수사에 나설 것으로 보인다. 박근혜 대통령과 반기문 유엔 사무총장 간의 통화록도 뉴욕 유엔본부 측에서 작성된 뒤 유출됐을 가능성이 크기 때문이다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)과 보안업계 관계자들은 킴수키가 박 대통령과 반 사무총장 간 통화록을 12일 트위터에 공개했을 때 여러 정황을 종합해 해당 문서가 생산된 곳이 청와대 등 국내 기관이 아닌 유엔본부라고 판단했다. 통화록의 내용과 메타데이터(문서의 작성자와 작성 시기 등이 담긴 정보)를 분석한 결과 작성 시간이 뉴욕 기준(지난해 1월 1일 오후 9시 4분)이었고 반 사무총장의 이름이 박 대통령 이름 앞에 기재돼 있었기 때문이다.

이에 따라 보안 전문가들은 킴수키 계열의 자료 탈취형 악성코드가 유엔본부 관계자의 컴퓨터에 잠복해 있다가 e메일로 통화록을 빼돌린 정황이 있다고 보고 있다. 2013년 6월 유엔본부 해킹 당시 △악성코드의 구조가 킴수키의 중국 창춘(長春) 조직이 사용해온 것과 90% 이상 일치했고 △감염된 컴퓨터의 자료가 전송되도록 지정된 e메일 계정이 킴수키의 것과 유사했으며 △악성코드 제작자 코드명이 2010년경부터 북한의 해킹 공격에 자주 등장한 ‘김송철’이었기 때문이다. 통화록 파일이 만들어진 시기도 유엔본부에 대해 킴수키가 해킹을 시도했던 때와 일치했다.

일각에서는 해커가 반 사무총장의 통화 내용을 도청한 뒤 직접 통화록을 작성했을 가능성도 제기됐다. 실제로 2011년 5월 북한의 농협 전산망 해킹 땐 서버 관리업체 직원의 좀비PC에서 도청 프로그램이 발견된 바 있다. 다만 이 수법은 킴수키가 주로 사용해온 e메일을 활용한 해킹과는 다소 거리가 멀다.

킴수키의 원전 협박 사건 이후 보안업계에서는 한국수력원자력이 대규모 해킹 공격의 초기 징후를 제때 파악하지 못한 점이 문제로 지적됐다. 지난해 9월 한수원에 발전소 제어망을 납품하는 한 업체가 악성코드 공격을 받았을 때 해당 서버에서는 북한 체신성 산하 조선체신회사(KPTC) 인터넷주소(IP주소) ‘210.52.***.***’의 접속 흔적이 발견된 것으로 알려졌다. 하지만 한수원은 별다른 조치를 취하지 않았고, 결국 3개월 후 킴수키는 한수원 임직원 3571명에게 대대적인 악성코드 e메일 공격을 감행했다.

조건희 becom@donga.com·변종국 기자