경찰청 국가수사본부(안보수사국)가 올해 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용 업체 직원들을 대상으로 발송된 악성 이메일 사건을 수사한 결과, 북 해킹 조직의 소행으로 확인됐다고 발표했다.

이번 사건은 미군 수사 기관이 해킹 공격을 인지한 후 한국 경찰과 정보 공유를 통해 피해 사실을 확인했다. 이후 경기남부경찰청(안보수사과)이 미군 수사 기관과 공조하여 추적 수사 및 피해 보호 조치를 진행했다.

수사 결과 북 해킹 조직은 작년 4월부터 국내 워게임 운용 업체를 해킹하기 위해 악성 이메일 공격을 지속해 올해 1월경 해당 업체 소속 행정 직원의 이메일 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 밝혀졌다.

이를 통해 피해 업체의 업무 진행 상황과 이메일 송수신 내용이 실시간으로 노출됐으며, 업체 전 직원의 신상 정보가 유출된 것으로 확인됐다.

해킹 조직은 탈취한 자료를 이용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 이메일을 한미연합연습 전투모의실에 파견된 피해 업체 직원들을 대상으로 발송했다.

이를 수신한 직원들이 미 국방 전산망에서 악성 첨부 문서를 실행했지만, 보안 시스템에 의해 악성코드가 차단되어 군 관련 정보는 탈취되지 않았다. 다만, 일부 직원들이 해당 이메일을 외부 계정으로 재전송하여 열람하면서 개인용 컴퓨터가 악성코드에 감염된 것으로 조사됐다.

경찰청과 미군 수사 기관은 공격에 사용된 아이피(IP)가 과거 ‘한국수력원자력 해킹 사건(2014년)’에서 확인된 IP 대역과 일치하고, 탈취한 자료를 자동으로 전송하는 기능이 포함된 악성코드가 사용됐다고 설명했다.

또한 ▲경유지 구축 방법 등 기존 공격과 유사성 ▲북한식 어휘 ‘념두(염두)’ 발견 ▲한미연합연습 시기에 맞춰 공격한 점 등을 종합 판단한 결과, 이번 사건을 북 해킹 조직 ‘김수키(Kimsuky)’소행으로 판단했다.

경찰청과 미군 수사 기관은 합동으로 피해 업체의 공용 및 개인용 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 완료하고, 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안 교육을 실시했다.

한편, 경찰청은 한미연합 군사연습 ‘을지 자유의 방패(UFS)’를 한 달여 앞둔 지난 7월, 미 육군 인사처를 사칭한 이메일이 주한 미군 한국인 근무자들에게 발송된 사실을 추가 확인하고, 경기남부경찰청(안보수사과)이 미군 수사 기관과 공조 수사를 계속 진행하고 있다고 덧붙였다.

경찰청은 “한미 간 유기적인 협업과 선제 조치로 주한미군의 자료 유출을 예방한 사례다. 앞으로도 국가 안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해 나갈 계획이다”라고 전했다.

석주원 기자 다른기사 보기