“김수키, 올 하반기 한국 외교부·통일부 사칭해 해킹”

서울-목용재 moky@rfa.org
2023.10.30
“김수키, 올 하반기 한국 외교부·통일부 사칭해 해킹” 지난 8월과 9월 한국 통일부를 사칭한 해킹 전자우편.
지니언스

앵커: 한국 내 보안업체인 지니언스가 북한의 해킹 조직인 김수키가 올해 하반기 한국 정부를 사칭해 해킹을 시도한 사례를 포착한 내용의 보고서를 내놨습니다. 서울에서 목용재 기자가 보도합니다.

 

30일 한국의 보안업체 지니언스에 따르면 북한의 해킹 조직 김수키는 지난 6월부터 9월까지 한국의 외교부와 통일부를 사칭해 북한 관련 업계 종사자들을 대상으로 해킹을 시도했습니다. 김수키는 특정 상황을 활용한 맞춤형 해킹을 시도하면서 정부를 지속적으로 사칭하고 있다는 게 지니언스의 설명입니다.

 

지니언스는 이날 위협 분석보고서를 통해 “9월 전후까지 김수키의 사이버 정찰, 침투 활동이 활발히 전개됨을 포착해 조사를 진행했다이 같은 위협은 이미 일상화된 실존 위협이라 해도 과언이 아니다라고 분석했습니다.

 

보고서에 따르면 김수키는 지난 6월 한국 외교부 한반도평화교섭본부 평화외교기획단의 평화체제과 사무관을 사칭해 공격 대상자에게 7월 개최되는 통일외교 관련 토론회 참석을 요청하는 전자우편을 보냈습니다. 해당 전자우편에는 첨부 파일이나 특정 사이트로 연결되는 URL은 존재하지 않았습니다.  

 

다만 해당 전자우편 발신자가 사용한 전자우편 도메인은 ‘mofa.go.ci’로 외교부의 공식 도메인(‘mofa.go.kr’)이 아니었습니다.

 

지니언스는 해킹에 활용된 도메인은 6월 등록된 것으로 인도 기반 다국적 회사인 Zoho Mail 서비스에 외교부 사칭 도메인을 연결해 사용한 것이라며 해당 전자우편에 반응을 보인 수신자를 선별해 본격적인 공격을 수행한 사례라고 분석했습니다.

 

해당 전자우편에 대해 수신자가 답신을 보내면 평화체제과 통일외교 관련 세션 기획()’이라는 악성 파일을 첨부해 다시 전자우편을 보내고 수신자로 하여금 첨부 파일을 클릭하도록 유도해 개인 정보를 빼낸다는 것입니다.

 

지니언스는 이와 동일한 수법의 공격이 지난 7월에도 포착됐다고 밝혔습니다.

 

8월과 9월에는 통일부 공무원을 사칭한 공격이 포착됐습니다.

 

지난 8월말 김수키는 통일부 통일정책실 정책총괄과의 주무관을 사칭해 통일부 자문 요청이라는 전자우편을 보냈습니다. 발신자 도메인은 ‘unikorea.go.ci’로 실제 통일부 직원들이 사용하는 도메인(‘unikorea.go.kr’)과 유사한 형태였습니다.

 

9월 초에도 통일부 인권인도실 인도지원과장을 사칭한 전자우편이 포착됐습니다. 해당 전자우편에는 고위공무원인 통일부 인권정책관과의 비공개 면담에 수신자를 초청하는 내용이 담겨 있습니다.

 

문종현 지니언스 이사는 30일 자유아시아방송(RFA)이번 보고서는 지난 9월에 있었던 한국 정부기관 사칭 해킹 공격을 조사분석하는 과정에서 그 배후에 김수키가 있었다는 것을 밝힌 내용이라며 과거 공격이 MS Word 파일에 기반을 뒀다면 최근에는 CHMLNK 형태의 악성 파일이 사용된다는 특징이 있다고 밝혔습니다.

 

이어 문 이사는 북한 해킹 조직이 지속적으로 새로운 공격 전략을 구사하고 있다며 이를 주의해야 한다고 당부했습니다.

 

또한 지니언스는 보고서를 통해 전자우편 내용에 어색한 표현이 있다면 악성 전자우편임을 의심해봐야 한다고 강조했습니다.

 

지니언스가 포착한 해킹 전자우편 가운데에는 다양한 북한식 표현이 등장합니다. ‘현시되다’, ‘비대면봉사’, ‘불비하다’, ‘련동등이 대표적입니다.

 

이런 가운데 한국 통일부는 30일 기자 설명회를 통해 북한이 해킹 등을 통해 불법적으로 자금을 탈취하는 행위를 막기 위해 국제사회와 적극적으로 협력할 것이란 입장을 밝혔습니다.

 

이날 구병삼 한국 통일부 대변인은 최근 국제자금세탁방지기구(FATF)가 북한을 자금세탁 고위험국가로 13년 연속으로 지정하고 유엔 안전보장이사회 대북제재위원회가 지난해 북한의 가상자산 탈취 규모를 약 17억 달러로 집계한 점을 거론하며 이같이 밝혔습니다.

 

구병삼 한국 통일부 대변인: 북한 정찰총국의 해커들이 지난해 탈취한 가상화폐 규모가 전년도 3배 수준인 17억 달러, 한화로는 23000억이 넘는 수준으로 급증하였습니다. 북한 비핵화와 인권 증진 등 한반도 내 모든 문제 해결의 첩경은 김정은 정권으로 흘러가는 검은 돈을 차단하는 데 있습니다. 앞으로 정부는 북한의 대북제재 회피 및 불법자금 조달 행위를 차단하기 위해 국제사회와 적극 협력해 나가겠습니다.

 

앞서 FATF는 지난 23~27일 열린 총회에서 북한에 대해 조치를 요하는 고위험국가로 지정한 결정을 유지했습니다.

 

또한 유엔 안보리 대북제재위원회는 현지시간으로 지난 27일 전문가 패널 보고서를 통해 북한이 핵무기 개발에 필요한 자금 확보 차원에서 가상자산 탈취를 적극적으로 활용하고 있다고 평가했습니다.

 

해당 보고서에 따르면 북한 연계 해커 조직은 지난해 약 17억 달러의 가상자산을 탈취했습니다.

 

서울에서 RFA 자유아시아방송 목용재입니다.              

 

에디터 양성원

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.