北 ‘김수키’ 위장메일로 침투 시도에… 美정부 "사이버보안 강화"

중앙일보

입력

미 국무부ㆍ연방수사국(FBI)ㆍ국가안보국(NSA)은 2일(현지시간) “‘김수키’ 등 북한의 사이버 해킹 단체가 최근 언론인이나 학자, 싱크탱크 직원 등으로 위장해 스피어피싱(특정인이나 특정 단체 등 타깃의 정보를 캐내기 위한 피싱)을 감행해 오고 있다”며 사이버 보안 강화를 권고했다. 사진은 지난해 6월 7일 박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 서울 서대문구 경찰청에서 북한 해킹조직 김수키 관련 수사 상황을 브리핑하는 모습. 뉴스1

미 국무부ㆍ연방수사국(FBI)ㆍ국가안보국(NSA)은 2일(현지시간) “‘김수키’ 등 북한의 사이버 해킹 단체가 최근 언론인이나 학자, 싱크탱크 직원 등으로 위장해 스피어피싱(특정인이나 특정 단체 등 타깃의 정보를 캐내기 위한 피싱)을 감행해 오고 있다”며 사이버 보안 강화를 권고했다. 사진은 지난해 6월 7일 박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 서울 서대문구 경찰청에서 북한 해킹조직 김수키 관련 수사 상황을 브리핑하는 모습. 뉴스1

‘[초청] 미국의 대북 정책 컨퍼런스’
지난해 말부터 올 초까지 미국 정부와 국제기구 관계자들에게 이런 제목의 이메일이 들어 왔다. 메일에는 “비공개 워크숍 기조연설에 당신을 초대하게 돼 영광이다. 일정이 바쁘겠지만 직접 참석하면 교통비ㆍ숙박비를 지원하며 소정의 강연료 500달러를 제공하겠다”는 내용이 있었다.

미국 내 한 싱크탱크 직원 이름이 발신자로 된 이 이메일은 “참석 의향을 알려주면 세부 내용을 전해드리겠다”고 하는 등 그럴싸해 보였지만, 사실은 북한 사이버 해킹 그룹이 보낸 위장 메일이었다. 정상적인 메일인 줄 알고 깜빡 속아 보내온 링크나 첨부 파일을 여는 순간 악성 코드가 깔리고 시스템에 접근해 정보를 탈취하는 북한의 사이버 해킹 시도였다.

미 국무부ㆍ연방수사국(FBI)ㆍ국가안보국(NSA)은 2일(현지시간) “‘김수키’ 등 북한의 사이버 해킹 단체가 최근 공격 성공률을 높이기 위해 언론인이나 학자, 동아시아 전문가, 비영리 단체 등으로 위장해 스피어피싱(특정 목표의 정보를 캐내기 위한 피싱)을 감행해 오고 있다”며 DMARC(도메인 기반 메시지 인증ㆍ보고ㆍ준수를 의미하는 이메일 인증 프로토콜) 보안 정책과 사이버 보안 태세 강화를 촉구하는 내용의 ‘사이버 보안 권고문’을 발표했다. 북한은 스피어피싱 공격을 통해 표적에 접근한 뒤 외교 정책ㆍ전략 등 북한의 이익이 걸린 다양한 정보 수집을 시도하고 있다는 게 미 정보 당국의 판단이다.

미국 국무부ㆍ연방수사국(FBI)ㆍ국가안보국(NSA)이 2일(현지시간) 공개한 사이버 보안 강화 권고문. 사진 권고문 파일 캡처

미국 국무부ㆍ연방수사국(FBI)ㆍ국가안보국(NSA)이 2일(현지시간) 공개한 사이버 보안 강화 권고문. 사진 권고문 파일 캡처

미 국무부는 이날 권고문을 통해 “미 정부는 북한의 사이버 해킹 조직들의 지속적인 정보 수집 시도를 관찰해 왔다”며 “유엔 안보리 제재를 받은 북한의 군사정보 조직 정찰총국이 이런 활동의 주 책임 부서로 파악된다”고 했다. 미 정부는 에메랄드 슬릿(Emerald Sleet), APT43, 벨벳 천리마, 블랙 반시 등의 이름으로도 알려진 김수키의 스피어피싱 활동을 집중 감시해 왔다. 북한의 목표는 한국이나 미국을 포함한 관련 국가의 최신 정보에 지속적으로 접근해 북한 정권 안보에 영향을 미칠 수 있는 정치적ㆍ군사적ㆍ경제적 조치를 방해하는 것이라고 미 정부는 본다.

미 국무부ㆍFBIㆍNSA는 각 기관에 이메일 메시지가 해당 조직의 도메인에서 정상적으로 전송됐는지 여부를 인증하는 보안 프로토콜 DMARC의 정책적 강화를 권고했다. 미 정부 고위 당국자는 “DMARC 정책을 안전하게 갖춰 놓으면 김수키와 같은 악의적 행위자가 공격 대상에게 스피어피싱 메시지를 보낼 때 해당 조직의 정상적 이메일 도메인 도용을 막을 수 있다”고 했다.

정근영 디자이너

정근영 디자이너

김수키의 스피어피싱은 오픈 소스 정보를 이용해 공격 대상을 선정한 다음 진짜인 것처럼 위장하기 위해 맞춤형 가상 인물을 설정하는 작업에서 시작된다. 신뢰할 수 있는 조직의 개인임을 사칭해 공격 대상과 신뢰를 쌓아가면서 필요한 시스템에 접근하는 패턴을 보였다.

미 국무부ㆍFBIㆍNSA는 ‘악의적인 북한 사이버 해킹 징후일 수 있는 위험 신호’로 ▶문장 구조가 어색하거나 문법이 틀린 영어 이메일 ▶이름과 이메일 주소 철자가 미묘하게 이상이 있는 이메일 ▶과거 정상적으로 주고받은 메시지 일부 내용과 텍스트가 포함돼 있는 이메일 등을 주의하라고 권고했다. 미 정보 당국은 “DMARC 정책을 업데이트하고 사이버 보안 태세를 강화해야 한다”고 강조했다.

북한 정찰총국 산하 해킹 조직으로 파악되는 김수키에 대해 미국 재무부는 지난해 11월 제재 대상에 올렸다. 김수키는 한국에서는 한국수력원자력 문서 유출(2014년), 국가안보실 사칭 메일(2016년), 정부기관ㆍ국회의원실ㆍ기자 사칭 메일(2022년) 사건 등을 일으킨 곳으로도 악명이 높다.

ADVERTISEMENT
ADVERTISEMENT