미국 안보당국, 북한 해킹그룹 ‘김수키’ 사이버 공격 공동 경보 발령

▲서울 송파구 한국인터넷진흥원(KISA) 인터넷침해대응센터 종합상황실에서 2016년 3월 7일 국내 웹사이트에 대한 디도스 공격과 악성코드 유입 현황을 파악하고 있다. 당시 북한이 우리 정부 주요 인사들의 스마트폰을 해킹해 일부 피해가 확인됐다. 뉴시스

연방수사국(FBI)과 미국 국토안보부 산하 사이버안보·기간시설안보국(CISA), 미국 사이버사령부(USCC) 등 3개 부처가 경보에 참여했다.

당국은 사이버 보안 경보 보고서에서 “김수키 조직은 2012년부터 한국과 미국, 일본의 개인과 단체로부터 핵 문제, 대북 제재와 기타 한반도에 영향을 미치는 문제에 대해 외교와 안보 관련 정보를 탈취했다”고 지적했다.

보고서는 “김수키가 특정 목표를 정해 지속적으로 공격하는 ‘지능형 지속 공격(APT)’ 기법을 즐겨 쓰고 있다”며 “특히 표적을 현혹하는 ‘사회공학기법(Social Engineereing)’이 사용됐다”고 설명했다. 보고서에 소개된 사회공학기법을 살펴보면 김수키는 한국 기자를 사칭해 한반도 전문가에게 스카이프 인터뷰나 방송 출연 요청 이메일을 보내 상대방이 응하면 인터뷰 자료라며 멀웨어나 악성코드가 담긴 첨부 문서나 구글 드라이브 링크를 보내 열도록 유도했다. 보고서는 “김수키가 뉴욕타임스(NYT)나 네이버, 다음 등이 들어간 도메인을 사용했다”고 덧붙였다.

카트리나 치즈먼 USCC 대변인은 “북한은 피싱과 다른 악의적인 사이버 행위를 통해 사이버 공간을 정보 수집 수단으로 계속 활용하고 있다”며 “미국은 세계 안보에 가장 큰 영향을 미칠 것으로 보이는 이런 정보를 계속 공유하고 있으며, 이런 나쁜 사이버 공격자들이 동맹국과 파트너 국가들에 해를 끼치지 않도록 막으려 한다”고 말했다.

사이버 보안업체 카스퍼스키랩의 커트 바움가트너 수석 보안 연구원은 “김수키는 세계무대에서 가장 유능한 해킹그룹이 아닐 수 있지만 매우 활동적”이라고 평가했다.