주한미군 워게임 업체 직원 대상 악성 전자우편
미 국방 전산망 노렸지만 시스템에 걸려
경찰청 "북 해킹조직 '김수키' 소행 확인"
이번 UFS 앞두고도 미 육군 사칭 전자우편 수사중
한미 연합연습 '을지 자유의 방패'(UFS·Ulchi Freedom Shield, 21일~31일)를 하루 앞둔 가운데 지난 2월 한미연합연습을 대상으로 벌어졌던 사이버 공격의 배후에 북한 해킹 조직인 '김수키'(Kimsuky)가 있었다고 경찰이 결론내렸다.
경기남부경찰청 안보수사과는 한미 연합 군사연습인 '프리덤 실드(자유의 방패·FS)' 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 3월까지 수차례 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 파악됐다고 20일 밝혔다.
김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 끝에 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취하고, 컴퓨터에 악성코드를 심는 데에 성공했다.
이후 김수키는 원격접속을 통해 A사의 업무 진행 상황과 각종 이메일 송수신 내용을 실시간으로 들여다본 것은 물론 A사 전 직원의 신상정보까지 빼돌렸다.
김수키는 이를 바탕으로 지난 2월부터 연말정산 시기에 맞춰 원천징수영수증으로 꾸민 악성 이메일을 한미연합연습 전투모의실에 파견된 A사 직원들에게 뿌렸다.
메일을 받은 A사 직원들이 미 국방 전산망에서 별다른 의심 없이 악성 첨부 문서를 실행하기를 기다렸던 것이다.
그러나 보안시스템에 의해 악성코드가 차단되면서 군 관련 정보는 유출되지 않은 것으로 나타났다. 다만 A사 직원 일부가 해당 메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 감염된 사례는 있었다고 한다.
경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹 공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 '한국수력원자력 해킹 사건'에서 사용된 IP 대역과 일치하는 사실을 확인했다.
아울러 기존 공격과 유사성, '념두' 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다.
경찰은 오는 21일부터 31일까지로 예정된 UFS를 한 달여 앞둔 지난달 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가로 확인하고, 미군 수사기관과 공조 수사를 계속하고 있다.
김경동 기자 weloveyou@pennmike.com