북한 정찰총국 산하 해킹조직인 김수키(Kimsuky)가 실존하는 기자, 학자, 사법기관, 포털사이트 관리자 등을 사칭하는 수법으로 전세계 주요인사들을 해킹해왔던 것으로 3일 드러났다. 한미 양국은 합동보안권고문을 내고 “김수키가 사람 간 신뢰·사회적 관계를 이용해 비밀 정보를 획득하고 있다”고 밝혔다.
합동권고문에 따르면 김수키는 전 세계의 정부·정치계·학계·언론계 등 분야를 가리지 않고 타깃으로 삼았다. 일단 피해자에게 해킹이라고 생각할 수 없는 일반적인 내용의 이메일을 보내는 식으로 소통을 시작한다. 이를테면 “통일부 과입니다” 등 제목의 이메일에 악성 프로그램이 깔린 첨부 파일을 보내는 방식이다.
보다 구체적인 피해사례로, 김수키는 국내 싱크탱크 부원장인 것처럼 행세하며 정치·북한 분야 교수들에게 메일을 보냈다. 자신이 소속된 싱크탱크에서 작성 중인 ‘북한의 외교정책과 한국의 대응’ 주제문에 대한 교수들의 견해를 받겠다는 내용이다. 교수들로부터 답장이 오면 김수키는 “자료 파일을 별첨해 송부 드린다”면서 재차 답장했다. 이를 열면 피해자의 컴퓨터 내 각종 파일과 개인정보가 탈취된다.
김수키는 취재를 빙자해서 해킹에 나서기도 했다. 실제 존재하는 미 언론사의 기자를 사칭, 미국의 싱크탱크 직원에게 대북관계, 북한 핵실험, 러시아의 우크라이나 침공 등과 관련한 질문을 던지는 식이다. 국내에선 수사 기관이나 사법 기관을 사칭해 “피해자의 이메일 계정이 불법적인 사건에 연루됐다”면서 해킹한 사례도 있다. 이렇게 얻어낸 정보는 북한 정권에 제공된다.
김수키의 이 같은 해킹수법은 이른바 스피어피싱(spear-phishing)이라 불린다. 이는 사전에 공격 대상을 파악해서 작살(spear)로 찍어내듯 정밀 타격하는 고도의 해킹이란 뜻이다.
하지만 이들의 메일에서 북한에서만 사용되는 단어가 발견되는 허점도 존재한다. 두음법칙을 쓰지 않는 북한 해커들의 특성이 그들도 모르게 메일에 드러난다는 것이다. 영어로 작성된 이메일은 어색한 문장구조나 부정확한 문법이 발견되기도 한다.
한미 정부는 이날 23쪽짜리 합동 보안 권고문에서 김수키의 공격수법, 그에 따른 피해사례와 예방조치가 상세히 소개하면서 “출처가 확인되지 않은 이메일 등에 대해 주의를 강화해야 할 것”이라며 “강력한 암호 설정 과 다단계 인증 등 계정 보호 조치를 권고한다”고 했다.