2014년 ‘한국수력원자력 해킹 사건’의 전모인 북한 해킹조직 ‘김수키’가 한미연합연습을 노린 정황이 포착됐다.

20일 경기남부경찰청 안보수사과는 한미연합 군사연습 ‘프리덤 실드’ 전투모의실에 파견된 국내 워게임 운용업체 A사 직원들이 김수키의 악성 전자우편 공격을 수차례 받았다고 밝혔다.

경찰 조사 결과 김수키는 지난해 4월부터 A사를 해킹하고자 악송코드가 담긴 전자우펀을 지속적으로 발송했고, 결국 지난 1월 해당 업체 소속 직원의 전자우편 계정을 탈취해 악성코드를 삼었다.

이후 원격 접속을 통해 A사 직원들의 신상정보를 가로채고 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 보냈다.

직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망 통제 보안시스템에 악성 코드가 차단되면서 해당 파일이 열리지 않은 것으로 알려졌다.

때문에 군 관련 정보가 김수키 측에 흘러들어간 정황은 없는 것으로 확인됐다. 하지만 일부 직원들이 해당 전자우편을 외부 계정으로 재전송하여 열람하는 과정에서 이들의 개인용 컴퓨터가 악성코드에 감염된 것으로 밝혀졌다.

경찰과 미군 수사기관은 이번 악성 전자우편 공격에 사용된 아이피가 지난 2014년 발생한 ‘한국수력원자력 해킹 사건’의 아이피와 같으며, 경유지를 구축하는 유사한 공격방식 및 ‘념두(염두)’ 등 북한식 어휘가 사용된 정황을 바탕으로 김수키 소행으로 판단했다.

경찰은 지난달 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가로 확인해 미군 수사기관과 공조 수사를 계속하고 있으며, 피해자들의 공용 및 개인 컴퓨터 감염여부 점검 등 보호조치를 실시했다.

경찰 관계자는 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례이다”며 “앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다”고 말했다.

[ 경기신문 = 박진석 기자 ]