한미연합연습 노린 악성 이메일…北해커 소행 결론

전투모의실 파견 업체 직원들 해킹한 뒤
미 국방 전산망 노렸지만 시스템에 걸려
경찰청 "북 해킹조직 '김수키' 소행 확인"

지난 2월 한미연합연습을 대상으로 벌어졌던 사이버 공격의 배후에 북한 해킹 조직이 있었다고 경찰이 결론내렸다.

경찰청 국가수사본부는 지난 한미연합연습 전투모의실에 파견된 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 이메일 사건을 수사한 결과 북한 해킹조직의 소행으로 확인됐다고 20일 밝혔다.

경찰에 따르면 작년 4월부터 국내 워게임 운용업체 A사에 대한 악성 공격을 벌여온 해커들은 올해 1월 A사 소속 직원의 이메일 계정을 탈취, 컴퓨터에 악성코드를 설치하는 데 성공했다.

이후 원격접속을 통해 A사의 업무 진행 상황과 각종 이메일 송수신 내용을 실시간으로 들여다본 것은 물론 A사 전 직원의 신상정보까지 빼돌린 것으로 나타났다.

해커들은 이를 바탕으로 지난 2월부터 연말정산 시기에 맞춰 원천징수영수증으로 꾸민 악성 이메일을 한미연합연습 전투모의실에 파견된 직원들에게 뿌렸다. 메일을 받은 직원들이 미 국방 전산망에서 별다른 의심 없이 악성 첨부 문서를 실행하기를 기다렸던 것이다.

그러나 보안시스템에 의해 악성코드가 차단되면서 군 관련 정보는 유출되지 않은 것으로 나타났다. 다만 A사 직원 일부가 해당 메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 감염된 사례는 있었다고 한다.

경찰청과 미군 수사기관은 이번 공격에 사용된 인터넷 주소(IP)가 지난 2014년 ‘한국수력원자력 해킹 사건’과 일치하는 등 기존 공격과 유사하다는 점을 통해 북한 해킹조직 일명 ‘김수키’(Kimsuky)의 소행으로 보고 있다.

특히 공격에 이용된 악성 이메일 내용에 ‘염두’를 뜻하는 북한식 어휘 ‘념두’가 쓰인 것으로도 파악됐다.

한편 경찰은 지난달 또다른 한미연합 군사연습 ‘을지 자유의 방패’(UFS)를 앞두고 미 육군 인사처를 사칭한 이메일이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인한 상태다. 현재 경기남부경찰청과 미군 수사기관이 공조수사를 진행하고 있다.

[서울=뉴시스]