[횡설수설/정원수]北 사이버 도둑 ‘김수키’가 남긴 발자국

외교안보 전문가들은 올 4월부터 10월 사이 여러 차례 수상한 이메일을 받았다. 그중엔 대통령직인수위원회 출입기자 명의로 한미 정상회담 관련 뉴스링크에 댓글을 부탁하는 내용이 있었다. 태영호 의원실 비서 명의로 수신자가 참석하지도 않은 통일 정책 세미나에 대한 사례비를 준다고도 했다. 무심코 링크나 첨부파일을 열면 악성코드가 삽입돼 메일을 실시간으로 감시당하거나, 컴퓨터 내부 자료까지 도난당한다. 최소 892명에게 메일이 발송됐고, 49명이 피해를 입었다.

▷경찰청은 이 같은 이메일 사칭이 북한 정찰총국 산하 해킹 조직인 일명 ‘김수키(Kimsuky)’의 소행이라고 25일 밝혔다. 김수키가 저지른 8년 전 원전 도면 유출 해킹 사건과 인터넷 주소(IP)가 거의 동일하고, 악성코드의 핵심 기술이 똑같다는 것이다. 경유 서버로 접속한 컴퓨터에선 백신의 북한말 ‘왁찐’을 인터넷에서 검색한 기록도 있었다. 전문가들은 “도둑이 남긴 발자국이 상습범의 것과 일치한 것”이라고 본다.

▷북한의 사이버 공격 능력은 러시아와 함께 세계 1, 2위를 다툰다. 김수키라는 이름을 처음 붙인 곳이 러시아의 한 백신 업체다. 사이버 공격에 사용된 메일 계정이 영문으로 ‘Kimsukyang’(김숙향)이라는 것을 파악하고, 해킹 조직의 이름을 러시아식으로 ‘Kimsuky’로 부른 보고서를 2013년 냈다. 그때부터 국내외 전문가들은 이메일에 악성코드를 숨겨 개인 정보를 빼돌리는 북한 해킹 조직을 김수키로 불렀다.

▷정찰총국은 정보 탈취가 주된 임무인 김수키 외에도 서로 다른 역할을 수행하는 해킹 조직 3, 4개를 더 운영 중인 것으로 알려져 있다. ‘라자루스(Lazarus)’가 대표적이다. 방글라데시 중앙은행에서 10억 달러를 해킹으로 인출해 카지노를 통해 돈세탁을 하려다가 미국 연방수사국(FBI)에 적발됐다. 북한 체제를 조롱한 영화를 제작한 미국 소니 픽처스도 해킹했다. 기업을 전문적으로 노리거나 암호화폐 거래소를 주로 공격하는 해킹 조직도 있다.

▷북한은 1990년 ‘조선컴퓨터센터(KCC)’를 설립한 뒤 영재 교육 시스템으로 해커들을 양성해왔다. 특히 김정은이 사이버 전쟁을 핵, 미사일과 함께 3대 전쟁 수단으로 선언한 이후 인력이 2배로 늘었다고 한다. 덩치만 커진 게 아니라 수법도 진화하고 있다. 최근 김수키는 중소기업에 랜섬웨어를 유포해 시스템을 마비시킨 뒤 비트코인을 받고 풀어줬다. ‘총칼 대신 키보드’라는 구호 아래 정보와 기술, 돈을 닥치는 대로 훔쳐가는 이들을 막지 못하면 우리에겐 진짜 총칼 못지않은 위기가 닥칠 수 있다.


정원수 논설위원 needjung@donga.com