북 해커조직 '김수키' 블랙리스트 올랐다…위성·군사기밀 해킹(종합)

정부, 북 '위성' 발사 이틀만에 독자 대북제재…사이버 분야는 네번째
김수키 관련 한미 보안권고문도 발표
정부가 2일 북한 정찰총국 산하 해커 조직 '김수키'를 독자 대북제재 명단에 올렸다. 김수키는 한국수력원자력, 한국항공우주산업 등을 해킹한 것을 포함해 국내 무기와 인공위성, 우주 관련 첨단기술을 절취한 유명 해킹 공작 조직이다.

북한이 군사정찰위성을 탑재한 발사체 '천리마 1형'을 쏘아 올린 지 이틀 만에 나온 것으로, 정부가 위성 발사 시 '응분의 대가'를 치르게 할 것이라고 밝힌 뒤 나온 첫 제재다.

외교부는 김수키를 독자 제재 대상으로 지정한 것은 한국이 처음이라면서, 김수키가 첨단 기술을 빼돌려 북한의 위성 개발에 직간접적인 관여를 해왔다고 밝혔다. 정부는 자체 식별한 김수키의 가상자산 지갑 주소도 식별 정보로 제재 명단에 함께 올렸다.

김수키는 국내는 물론 해외에도 널리 알려진 대표적인 해킹 집단이다.

10여년 전부터 기자, 학자, 연구자 등을 사칭해 전 세계 정부·정치계·학계·언론계 주요 인사를 대상으로 사이버 공격을 감행해 얻어낸 정보를 북한 정권에 제공하는 것으로 유명하다. 지난 4월 공개된 유엔 안전보장이사회(안보리) 산하 대북제재위원회 전문가패널 보고서에 따르면 북한 정찰총국 제3국(기술정찰국)에 산하 단체인 김수키는 군사, 에너지, 인프라 분야를 공격 타깃으로 삼고 해당 분야에서 활동하는 업체들의 기밀정보도 노려왔다.

보고서는 김수키가 '애플시드'라는 이름의 백도어 멀웨어(악성 소프트웨어)를 구매주문서나 신청서 등으로 위장해 군기지 보수업체와 원전 관련회사 등에 배포, 피해자 계정 정보는 물론 컴퓨터 폴더와 파일까지 빼냈다고 말했다.
국내에서는 2014년 한국수력원자력 해킹, 2021년 서울대병원 개인정보 유출 등이 모두 김수키 활동의 대표적 사례다. 김수키를 비롯한 북한 해킹 조직의 불법 사이버 활동이 급속히 확대했으나 이들을 겨냥한 제재 속도는 더뎠다.

윤석열 정부는 2022년 10월 핵·미사일 개발 및 제재 회피에 조력한 북한 인사 15명과 기관 16곳을 독자제재 대상으로 추가 지정하며 대북 제재를 재개한 바 있다.

해당 대북 제재는 2017년 12월 이후 약 5년 만에 재개된 대북 제재였으나 대량살상무기(WMD) 및 미사일 개발에 관여한 인물과 단체에 집중됐다.

한국의 사이버 분야 대북 제재는 지난 2월이 처음이었다.

미국이 2018년 9월 북한 국적 해커 박진혁을 기소하고 박진혁과 소속 회사 '조선 엑스포'를 제재 명단에 올리며 북한 사이버 공격 활동에 대해 처음으로 칼을 빼든 것에 비하면 다소 늦은 편이다.

외교부 당국자는 이와 관련, "제재 지정을 위해서는 여러 부처가 오랜 기간 내부적 검토를 거쳐야 한다"고 설명했다.

이번 제재는 윤석열 정부 출범 이후 단행된 8번째 대북 독자 제재다.

정부는 지난해 10월 이후 지금까지 45개 기관과 개인 43명을 독자 제재 대상에 지정했다.

사이버 분야 독자 제재는 이번이 네번째다.

외교부는 국정원, 경찰청, 미국 연방수사국(FBI), 국무부, 국가안보국(NSA)과 함께 김수키 의심 활동에 대한 주의와 사이버 보안 조치 강화를 권고하는 한미 정부 합동 보안권고문도 발표했다.

미국 국무부는 보안권고문에 대해 "북한의 사이버 위협에 대한 한미 실무 그룹의 구체적인 결과물"이라고 소개했다.

양국의 수사·외교당국이 북한사이버 위협에 대한 보안 권고문을 발표한 것은 이번이 처음이다.

보안권고문에는 스피어피싱(특정인을 속이기 위해 맞춤으로 제작된 이메일과 전자통신 내용을 활용해 개인정보를 훔치는 공격)과 같은 김수키의 구체적인 활동 수법과 위험 지표, 위협 완화 조치 등이 상세히 기재됐다.

보안권고문에 따르면 김수키는 주로 스피어피싱(특정인을 속이기 위해 맞춤으로 제작된 이메일과 전자통신 내용을 활용하여 개인정보를 훔치는 공격)을 일삼는다. 이들의 스피어피싱을 전문 수사 기관이 아닌 일반인이 구별해내기는 사실상 쉽지 않으나 한국에서는 쓰지 않은 두음법칙 미적용 단어들을 간혹 이메일에서 발견할 수 있는 것으로 알려졌다.
/연합뉴스