메일을 수신한 892명 중 피싱 피해를 입은 이는 49명으로 전해졌다. 49명 이메일 계정은 해커로부터 주소록과 첨부문서 등 정보를 탈취당했다. 피싱 메일은 ‘사칭’을 통해 신뢰도를 높였다. 태영호 국민의힘 의원실 비서와 국립외교원을 사칭했다. 윤석열 대통령 취임 이전엔 대통령 인수위원회 출입기자를 사칭해 이메일을 보내기도 했다.
김수키는 정보 탈취 외에도 랜섬웨어 유포를 통해 서버 컴퓨터를 해킹했다. 접속 위치를 숨기기 위해서였다. 랜섬웨어 유포는 인터넷 쇼핑몰 등 작은 회사를 목표로 이뤄진 것으로 보인다. 경찰에 따르면 김수키는 랜섬웨어 유포 이후 해당 서버 관리 회사 등에 서버 정상화를 미끼로 비트코인을 요구했다.
경찰 관계자는 “업체 두 곳이 비트코인으로 약 255만 원가량을 전달한 것으로 조사됐다”면서 “금품을 요구하며 보낸 이메일 주소와 비트코인 해외거래소에 대한 수사도 진행 중”이라고 했다. 이 관계자는 “국내에서 북한이 랜섬웨어를 활용한 것은 굉장히 이례적”이라고 했다.
김수키는 북한 정찰총국이 관할하는 해킹 조직이다. 라자루스, 금성121 등과 함께 가장 유명한 북한 해커 집단으로 이름을 날렸다. 이 중 라자루스는 비트코인 탈취 등을 노리는 ‘수익형 해커조직’으로 잘 알려져 있다. 김수키와 금성121은 ‘정보 탈취형 해커조직’ 성격이 짙었다.
2014년 한국수력원자력 원전 도면 유출 및 가동중지 협박 사건으로 국내에서 조직의 이름을 알린 ‘김수키’는 2021년에는 공공기관, 기업, 병원 등에 대한 해킹을 시도했다. 한국원자력연구원, 한국항공우주산업, 대우조선해양, 서울대학교병원 등이 해킹 표적이 됐다.
2020년 총선을 앞두고 있던 시점 출마 선언을 했던 태영호 의원 스마트폰이 해킹을 당한 사건(관련기사 ‘태영호 사건’은 빙산의 일각…여의도 북한발 해킹 경계령)이 있었다. 당시 태 의원 스마트폰을 해킹한 조직은 금성121로 알려졌다. 대북 소식통에 따르면 금성121은 사회·정치 주요 인사 및 공공기관 자료를 탈취하고 있는 121부대를 일컫는 말이다.
탈취한 자료는 대남공작을 목적으로 북한 내부 데이터베이스에 축적된다는 후문이다. 소식통은 “공공기관들이 자체적으로 운영하는 인트라넷(내부망)을 향한 공격 시도도 적지 않게 이뤄지고 있다”고 했다. 금성121이 2년 전 태 의원 정보를 털어가려 시도했고, 2022년엔 김수키가 태영호 의원실 관계자를 사칭해 피싱 메일을 살포했다. 그 과정에서 김수키는 랜섬웨어 유포 기반 푼돈 탈취까지 노렸다.
정보기관 출신 대북 소식통은 “그동안 큰 공공기관이나 기업들이 북한 해커들의 표적이었다면, 이제는 그 표적이 우리 사회 모세혈관으로 파고드는 느낌”이라면서 “푼돈을 탈취하기 좋으면서 보안이 취약한 작은 회사들까지 북한 해커들의 사정권에 들기 시작했다”고 했다.
소식통은 “그간 분업체계가 확실해보였던 유명 북한 해커조직들이 각자도생을 통해 ‘멀티플레이어’로 진화하고 있는 것 아니냐는 시선도 있다”면서 “김수키가 소액이지만, 랜섬웨어 유포를 통해 민간 소유 비트코인을 탈취해간 점은 주목할 필요가 있다”고 강조했다.
그는 “한번 ‘푼돈의 맛’을 본 북한 해커 조직이 더 세밀한 방법으로 침투해 추가적인 탈취를 시도할 수 있다”면서 “그간 큰 기업을 목표로 잡았던 북한 해커 조직이 민간인을 표적으로 민간인 주머니 털이에 나선다면 사회 혼란이 불거질 수 있기 때문에, 시민 모두가 사이버 보안에 조금 더 신경을 쓸 필요가 부각되고 있다”고 경고했다.
또 다른 소식통은 “북한 최고 엘리트 집단 중 하나인 해킹 조직이 민간인을 표적으로 한 푼돈 털이에 나섰다는 점은 그만큼 북한 내부 상황이 어렵다는 방증이기도 하다”면서 “강력한 대북제재 국면이 지속된 지 5년이 넘어가고 있는 상황에서 북한이 외화를 벌어올 수 있는 수단은 점점 더 제한적으로 변하고 있다”고 했다.
소식통은 “해킹을 통한 불법적인 금전 탈취는 현재 북한이 노릴 수 있는 가장 큰 ‘잭팟’”이라면서 “기존 정보 탈취를 주 임무로 하던 조직들까지 푼돈 털이에 동원되고 있는 부분은 경제적으로 어려운 상황에서 해킹 조직들이 자력갱생 차원으로 자가 발전기를 돌리고 있는 것으로 보고 있다”고 분석했다.
태 의원은 “북한 해킹 조직 피싱 메일을 보고 나도 놀랐다”면서 “처음에는 정말 의원실에서 보낸 줄 알고 보좌진에게 직접 확인까지 했다”고 했다. 이어 그는 “이번 일로 내 활동이 김정은 정권에 주는 영향 및 타격이 크다는 점을 다시 확인했다”면서 “초심 그대로 목숨을 걸고 통일이 되는 그날까지 더 적극적으로 활동할 것”이라고 했다.
이동섭 기자 hardout@ilyo.co.kr
