- "北 해커들, 中 정부 해커들과 협력 및 기술 공유 활발해"
- 운영 및 공격 방식 알아내…韓 해킹 증거 등 데이터 확보
김수키(Kimsuky)는 북한 정부와 연계된 해커 집단이다. 한국의 싱크탱크, 산업, 원자력 발전소 운영사, 통일부를 간첩행위 목적으로 공격해 유명해졌다. 이들은 최근 몇 년 동안 러시아, 미국, 유럽 국가들로까지 공격 범위를 늘려 나갔다. 그런데 최근 이들을 역으로 해킹했다고 주장하는 사람들이 나타나 관심을 모으고 있다.
김수키를 해킹했다는 해커들은 세이버(Saber)와 사이보그(cyb0rg)라는 별명으로 알려져 있다. 이들은 사이버 보안 관련 매체인 ‘프랙’ 최신호를 통해 자신들의 김수키 해킹 내용을 발표했다. 이 최신호는 지난주 라스베이거스에서 열린 데프콘 해커 컨퍼런스에서도 배포됐다.
두 해커는 김수키 소속 '김'이라는 해커의 가상 머신과 가상 사설 서버가 있는 워크스테이션을 해킹, 김수키의 각종 데이터를 획득했다고 밝혔다. 해커들은 자신들이 획득한 데이터를 공익적 목적으로 유출된 데이터를 저장하는 비영리 단체인 디도시크리츠(DDoSecrets)에 제공했다.
과거 사이버 보안 분야의 연구자들과 기업들은 해커들이 데이터 침해 사건을 저지르고 나서야 해당 사건을 조사할 수 있었다. 그런 방법으로 얻을 수 있는 해커들의 실체에 대한 정보도 제한적이었다. 그러나 이번 사건에서는 상대 해커를 직접 해킹해 김수키의 운영 방식을 전례 없을만큼 크게 폭로했다.
세이버와 사이보그는 “우리는 김수키가 중국 정부 소속 해커들과 활발히 협력하고, 해킹 도구 및 기술도 공유한 사실을 알아냈다”고 밝혔다.
세이버와 사이보그의 해킹 행위는 엄밀히 따지면 범죄다. 하지만 북한은 국제 제재를 받고 있고, 사이버 범죄를 저지르기 때문에 이들이 사법 처분을 받을 가능성은 낮다. 두 해커는 김수키의 조직원들이 폭로돼 망신을 당해야 한다고 확신하고 있다. 두 해커는 프랙의 기사에 김수키에게 보낸다며 이런 글을 썼다.
“김수키, 너희들은 해커도 아니다. 욕심에 사로잡혀 북한 지도자들을 부유하게 하고, 그들의 정치적 목적 달성을 도와줄 뿐이다...너희들은 도덕적으로 타락했다.”
세이버와 사이보그는 김수키가 여러 한국 정부 기관과 기업을 해킹한 증거, 김수키 그룹이 사용한 이메일 주소와 해킹 도구, 내부 지침, 비밀번호 등의 데이터를 확보했다고 밝혔다. 그들은 김수키 그룹의 이메일 주소로 이메일도 보냈지만 답장은 돌아오지 않았다.
세이버와 사이보그는 김이 북한 정부 소속 해커라는 증거로 김수키의 것으로 알려진 파일 구성과 도메인이 그에게서 발견됐다는 점을 들었다. 해커들은 또한 김이 근무 시간을 매우 엄격하게 지켜 항상 평양 시간으로 오전 9시에 접속하고 오후 5시에 접속을 끊는다는 점도 증거로 들었다.
이번 사건은 해킹 그룹 김수키의 활동을 외부에서 분석하는 것을 넘어 그들의 내부로 들어가 활동 양상을 직접 파악했다는 점에서 의미가 크다. 김수키는 그동안 외교, 안보, 국방 분야의 개인이나 기관을 대상으로 정보를 탈취해왔으며, 이러한 공격 수법은 주로 '스피어 피싱(Spear Phishing)'을 통해 이루어졌다.
즉, 특정 대상을 정하고, 그들의 신뢰를 얻어 악성코드를 심는 방식이다. 이번 해킹을 통해 이러한 공격 방식의 구체적인 계획과 실행 과정이 일부 드러난 것으로 보인다.
다만 이 사건에 대한 발표는 프랙의 보도 뿐이며, 정부 기관이나 보안 당국의 공식 발표는 아직 없다. 하지만 만약 사실로 밝혀진다면, 북한 해킹 그룹의 활동을 추적하고 방어하는 데 새로운 전환점을 마련할 수도 있을 것으로 보인다./이동훈 기자 ldh@sandtimes.co.kr