北김수키 “외교-안보 조언 부탁”… 악성메일로 前장차관 3명 해킹

학계-언론계 150명에 ‘피싱용 이메일’
악성코드 심은 파일 다운로드 유도
“해킹 우려”… 본인 인증까지 하게 해
前통일장관 “해킹 사실 전혀 몰랐다”

크게보기

“교수님이 쓰신 글을 읽는 동안 무릎을 치며 공감했습니다. 제가 쓴 미숙한 글에도 코멘트 부탁드립니다.”

국내의 한 외교안보 전문가는 이 같은 내용의 이메일을 읽고 무심코 발송자가 보낸 대용량 문서 파일을 내려받았다. ‘해킹이 심하다 보니 보안이 강화돼 파일을 열려면 본인 인증을 해야 한다’는 안내에 따라 인증까지 했다. 하지만 해당 이메일은 북한 정찰총국 산하 해킹조직인 ‘김수키(kimsuky)’가 보낸 ‘피싱용 이메일’이었다.

● 전직 장차관급 공무원도 털려

7일 경찰청 국가수사본부는 북한 해킹조직 김수키가 윤석열 정부 출범 전후인 지난해 4∼7월 전·현직 고위공무원 등 국내 외교안보 전문가들에게 ‘피싱용 이메일’을 보내 해킹한 것으로 파악했다고 밝혔다. 정보 유출 피해를 입은 피해자는 전직 장관급 공무원 2명과 차관급 공무원 1명, 학계 전문가 4명, 현직 간부급 공무원 1명, 언론사 기자 1명 등 9명으로 집계됐다.

경찰에 따르면 김수키는 국내외 서버 138개를 경유하며 인터넷주소(IP주소)를 바꾼 뒤 통일·안보 전문가, 기자 등을 사칭하며 외교안보 전문가 등 150명에게 이메일을 보냈다. 주로 책자 발간이나 논문 관련 조언, 인터뷰 등을 요청했다.

김수키는 “건강 유의하시고 한반도 평화 증진에 애써주셔서 감사드린다”며 접근한 뒤 대용량 문서 파일을 보내 다운로드를 유도했다. 이후 보안상 절차라며 본인 인증을 하도록 하며 피해자의 컴퓨터에 악성 코드를 심었다. 이어 피해자가 계정 아이디와 비밀번호를 입력하면 해킹조직이 이 정보를 가로채 피해자 이메일 계정에 접속해 자료나 주소록 등을 수개월 동안 수시로 들여다본 것으로 밝혀졌다.

북한 해커들은 해킹 성공 후에도 “졸고를 꼼꼼히 봐주셔서 감사하다” “단 몇 글자 주심에도 책 전체가 탈바꿈한 듯하다” 등의 답장을 보내며 의심을 피했다. 경찰은 “이메일에 ‘봉사기’(서버), ‘랠’(내일), ‘적중한 분’(적합한 분) 등 북한식 어휘를 사용했고 공격지 IP주소, 경유지 구축 방식 등을 토대로 김수키 소행이라고 판단했다”고 설명했다.

경찰은 해킹조직이 새 정부에서 입각하거나 대북 정책 등에 영향을 미칠 수 있는 전문가들을 목표로 해킹을 시도한 것으로 보고 있다. 피해를 입은 장차관 3명은 10여 년 전 외교부와 통일부에서 장차관을 지낸 인물이다. 통일부 장관을 지낸 A 씨는 “전혀 모르고 있었는데 경찰 연락을 받고서야 해킹당했다는 사실을 뒤늦게 알게 됐다. 자료가 나도 모르게 빠져나갔다”고 말했다.

● 北, 3500만 달러 가상화폐도 해킹한 듯

경찰은 이들이 장악한 서버에서 가상화폐 지갑 주소 2개를 발견했는데 해당 지갑에선 200만 원 상당의 거래가 이뤄졌다고 한다. 경찰 관계자는 “금전 탈취 시도가 있었던 건 아닌지 등에 대해서도 수사를 이어가고 있다”고 밝혔다.

한편 최근 유명 가상화폐 지갑 플랫폼 ‘아토믹 월렛’에서 발생한 3500만 달러(약 455억 원) 규모의 가상자산 탈취 사건 배후에 북한 해킹그룹이 있다는 분석도 나왔다. 데이터 분석 업체 일립틱은 해당 자산이 북한 해킹그룹 라자루스가 자금 세탁에 주로 사용하는 믹서 플랫폼 ‘신바드’로 이동했다는 자체 조사 결과를 6일(현지 시간) 내놨다. 믹서는 가상화폐를 쪼개고 섞는 기술로, 여러 번 되풀이하면 자금 출처 등을 추적하기가 어려워진다.

앞서 5월 미 재무부는 라자루스의 대규모 해킹 사건에 연루됐던 믹서 ‘블렌더’를 제재했다. 일립틱은 신바드가 블렌더의 변형 버전일 가능성이 높다고 분석했다.


김기윤 기자 pep@donga.com
이승우 기자 suwoong2@donga.com
홍정수 기자 hong@donga.com