정보 탈취 전문이었지만 피싱 통해 소액 털이 나서…“북 내부 상황 어렵다는 방증” 민간인도 피해 주의
북한 해킹조직 ‘김수키’는 특정 인물을 사칭해 외교·통일·안보·국방 전문가 892명에게 ‘스피어피싱’ 메일을 보낸 것으로 파악되고 있다. 이메일에 첨부된 파일을 다운로드 받으면 PC에 자동으로 해킹 프로그램이 설치되도록 설계된 피싱이었다. 이메일엔 참가 사례비 등을 지급한다는 명목으로 첨부파일이 게재된 것으로 전해진다.
메일을 수신한 892명 중 피싱 피해를 입은 이는 49명으로 전해졌다. 49명 이메일 계정은 해커로부터 주소록과 첨부문서 등 정보를 탈취당했다. 피싱 메일은 ‘사칭’을 통해 신뢰도를 높였다. 태영호 국민의힘 의원실 비서와 국립외교원을 사칭했다. 윤석열 대통령 취임 이전엔 대통령 인수위원회 출입기자를 사칭해 이메일을 보내기도 했다.
김수키는 정보 탈취 외에도 랜섬웨어 유포를 통해 서버 컴퓨터를 해킹했다. 접속 위치를 숨기기 위해서였다. 랜섬웨어 유포는 인터넷 쇼핑몰 등 작은 회사를 목표로 이뤄진 것으로 보인다. 경찰에 따르면 김수키는 랜섬웨어 유포 이후 해당 서버 관리 회사 등에 서버 정상화를 미끼로 비트코인을 요구했다.
경찰 관계자는 “업체 두 곳이 비트코인으로 약 255만 원가량을 전달한 것으로 조사됐다”면서 “금품을 요구하며 보낸 이메일 주소와 비트코인 해외거래소에 대한 수사도 진행 중”이라고 했다. 이 관계자는 “국내에서 북한이 랜섬웨어를 활용한 것은 굉장히 이례적”이라고 했다.
대북 소식통은 “이번 김수키의 해킹에서 독특한 부분이 눈에 띈다”면서 “그간 정보 탈취나 공공기관 서버 해킹 등 굵직한 프로젝트를 담당했던 김수키가 푼돈 탈취에도 열을 올리고 있는 정황이 포착되고 있다”고 했다. 소식통은 “북한 정찰총국이 허리띠를 졸라매고 ‘투트랙 전략’을 펼치고 있는 것으로 보인다”면서 “정보뿐 아니라 곁다리로 푼돈 탈취를 하면서 공작비를 마련하려는 행보인 것처럼 보인다”고 했다.
김수키는 북한 정찰총국이 관할하는 해킹 조직이다. 라자루스, 금성121 등과 함께 가장 유명한 북한 해커 집단으로 이름을 날렸다. 이 중 라자루스는 비트코인 탈취 등을 노리는 ‘수익형 해커조직’으로 잘 알려져 있다. 김수키와 금성121은 ‘정보 탈취형 해커조직’ 성격이 짙었다.
2014년 한국수력원자력 원전 도면 유출 및 가동중지 협박 사건으로 국내에서 조직의 이름을 알린 ‘김수키’는 2021년에는 공공기관, 기업, 병원 등에 대한 해킹을 시도했다. 한국원자력연구원, 한국항공우주산업, 대우조선해양, 서울대학교병원 등이 해킹 표적이 됐다.
앞서의 대북 소식통은 북한 유명 해커조직들과 관련해 “북한 당국이 직접 관할하는 관제 해커 조직”이라면서 “지금까지 파악된 해커 조직들은 인민무력부 정찰총국 산하 사이버전 지도부 소속 요원들로 파악되고 있다”고 전했다. 소식통은 “북한 주민들은 해커들의 존재를 전혀 모르지만, 당국 내부에선 최고사령관 작전예비대라고 불릴 정도로 위상이 높다”면서 “김정은은 정찰총국 산하 해커들을 자신의 별동대로 여기고 있다”고 귀띔했다.
2020년 총선을 앞두고 있던 시점 출마 선언을 했던 태영호 의원 스마트폰이 해킹을 당한 사건(관련기사 ‘태영호 사건’은 빙산의 일각…여의도 북한발 해킹 경계령)이 있었다. 당시 태 의원 스마트폰을 해킹한 조직은 금성121로 알려졌다. 대북 소식통에 따르면 금성121은 사회·정치 주요 인사 및 공공기관 자료를 탈취하고 있는 121부대를 일컫는 말이다.
탈취한 자료는 대남공작을 목적으로 북한 내부 데이터베이스에 축적된다는 후문이다. 소식통은 “공공기관들이 자체적으로 운영하는 인트라넷(내부망)을 향한 공격 시도도 적지 않게 이뤄지고 있다”고 했다. 금성121이 2년 전 태 의원 정보를 털어가려 시도했고, 2022년엔 김수키가 태영호 의원실 관계자를 사칭해 피싱 메일을 살포했다. 그 과정에서 김수키는 랜섬웨어 유포 기반 푼돈 탈취까지 노렸다.
정보기관 출신 대북 소식통은 “그동안 큰 공공기관이나 기업들이 북한 해커들의 표적이었다면, 이제는 그 표적이 우리 사회 모세혈관으로 파고드는 느낌”이라면서 “푼돈을 탈취하기 좋으면서 보안이 취약한 작은 회사들까지 북한 해커들의 사정권에 들기 시작했다”고 했다.
소식통은 “그간 분업체계가 확실해보였던 유명 북한 해커조직들이 각자도생을 통해 ‘멀티플레이어’로 진화하고 있는 것 아니냐는 시선도 있다”면서 “김수키가 소액이지만, 랜섬웨어 유포를 통해 민간 소유 비트코인을 탈취해간 점은 주목할 필요가 있다”고 강조했다.
그는 “한번 ‘푼돈의 맛’을 본 북한 해커 조직이 더 세밀한 방법으로 침투해 추가적인 탈취를 시도할 수 있다”면서 “그간 큰 기업을 목표로 잡았던 북한 해커 조직이 민간인을 표적으로 민간인 주머니 털이에 나선다면 사회 혼란이 불거질 수 있기 때문에, 시민 모두가 사이버 보안에 조금 더 신경을 쓸 필요가 부각되고 있다”고 경고했다.
또 다른 소식통은 “북한 최고 엘리트 집단 중 하나인 해킹 조직이 민간인을 표적으로 한 푼돈 털이에 나섰다는 점은 그만큼 북한 내부 상황이 어렵다는 방증이기도 하다”면서 “강력한 대북제재 국면이 지속된 지 5년이 넘어가고 있는 상황에서 북한이 외화를 벌어올 수 있는 수단은 점점 더 제한적으로 변하고 있다”고 했다.
소식통은 “해킹을 통한 불법적인 금전 탈취는 현재 북한이 노릴 수 있는 가장 큰 ‘잭팟’”이라면서 “기존 정보 탈취를 주 임무로 하던 조직들까지 푼돈 털이에 동원되고 있는 부분은 경제적으로 어려운 상황에서 해킹 조직들이 자력갱생 차원으로 자가 발전기를 돌리고 있는 것으로 보고 있다”고 분석했다.
북한 해킹 조직의 피싱 메일 살포 사건 관련 사안이 알려진 뒤 태영호 의원은 12월 25일 국회 소통관에서 기자회견을 열었다. 태 의원은 “북한 김정은 정권 해킹 조직이 의원실을 사칭해 국내 외교·안보 전문가들에게 피싱 메일을 대량으로 배포한 사실이 경찰 수사 결과 드러났다”면서 “이런 협잡은 더 이상 통하지 않을 것이라고 김정은에게 경고한다”고 했다.
태 의원은 “북한 해킹 조직 피싱 메일을 보고 나도 놀랐다”면서 “처음에는 정말 의원실에서 보낸 줄 알고 보좌진에게 직접 확인까지 했다”고 했다. 이어 그는 “이번 일로 내 활동이 김정은 정권에 주는 영향 및 타격이 크다는 점을 다시 확인했다”면서 “초심 그대로 목숨을 걸고 통일이 되는 그날까지 더 적극적으로 활동할 것”이라고 했다.
이동섭 기자 hardout@ilyo.co.kr