연말정산 위장 스팸메일, 북 해커 '김수키' 소행이었다

by황영민 기자
2023.08.20 10:30:45

경기남부경찰청, 미군 수사대와 공조수사결과
올초 한미 워게임 업체 직원 피해사실 확인
''원천징수영수증'' 파일 열람시 악성코드 설치
해킹 IP, 과거 한수원 해킹과 동일 ''김수키''로 판단

[수원=이데일리 황영민 기자]한미연합연습 워게임(War Game) 운용업체 직원에게 날아온 악성코드가 첨부된 스팸메일이 북한 해킹조직 소행인 것으로 드러났다.

일명 ‘김수키’(Kimsuky)로 알려진 북 해킹조직은 연말정산 시기인 지난 2월께 ‘원천징수영수증’으로 위장한 메일을 한미연합연습 전투모의실에 파견된 직원들에게 발송했다.

북 해킹조직이 실제 해킹에 사용한 연말정산 위장 스팸메일.(자료=경기남부경찰청)
20일 경기남부경찰청은 미군 수사기관과 공조 수사를 진행한 끝에 이같은 내용을 확인했다고 밝혔다.

이번 사건은 미군 수사기관이 해킹 공격을 인지한 후 경찰과 정보공유를 통해 피해 사실을 확인했고, 경기남부경찰청이 미군 수사기관과 공조해 추적 수사 및 피해 보호조치를 진행했다.

수사 결과 북 해킹조직은 작년 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했고, 올해 1월에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 밝혀졌다.

이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다.

북 해킹조직은 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다.



이를 수신한 직원들이 미 국방 전산망에서 악성 첨부 문서를 실행하려 했으나, 보안시스템에 의해 악성코드가 차단되어 군 관련 정보는 탈취되지 않은 것으로 확인됐다.

다만, 일부 직원들이 해당 전자우편을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 것으로 밝혀졌다.

경기남부경찰청과 미군 수사기관은 공격 사용된 아이피(IP)가 과거 ‘한국수력원자력 해킹 사건(2014년)’에서 확인된 아이피(IP) 대역과 일치하며, 탈취한 자료를 자동으로 전송하는 기능이 포함된 악성코드가 사용된 사실을 확인했다.

해킹 공격 개요도.(자료=경기남부경찰청)
아울러 △경유지 구축 방법 등 기존 공격과 유사성 △북한식 어휘‘념두(염두)’ △한미연합연습 시기에 맞춰 공격한 점 등을 종합 판단한 결과 이번 사건을 북 해킹조직 일명‘김수키(Kimsuky)’소행으로 판단했다.

경기남부경찰청과 미군 수사기관은 합동으로 피해업체의 공용 및 개인용 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 완료했고, 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안교육을 실시했다.

이상현 경기남부경찰청 안보수사과장은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례이다”라며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다”라고 말했다.

한편, 경기남부경찰청은 한미연합 군사연습인‘을지 자유의 방패(UFS)’(8월 21일~31일)를 한 달여 앞둔 지난 7월, 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인하고, 미군 수사기관과 공조수사를 계속 진행하고 있다.