북, 한미연합연습에 '연말정산' 위장 악성코드 뿌려 해킹 시도

등록 2023.08.20 09:01:00

올해 2월 한미연습 파견 국내업체 직원에 악성 전자우편

7월에도 주한미군 한국인 근무자에 전자우편 발송, 경찰수사

[수원=뉴시스] 양효원 기자 = 북한 해킹조직 '김수키'가 한미연합연습 전투모의실 파견 국내 워게임 운용 업체 해킹 공격을 위해 보낸 연말정산 위장 전자우편. (사진=경기남부경찰청 제공) 2023.8.20. hyo@newsis.com *재판매 및 DB 금지

[수원=뉴시스] 양효원 기자 = 북한 해킹조직 '김수키'가 한미연합연습 전투모의실 파견 국내 워게임 운용 업체 해킹 공격을 위해 보낸 연말정산 위장 전자우편. (사진=경기남부경찰청 제공) 2023.8.20. [email protected] *재판매 및 DB 금지

[수원=뉴시스] 양효원 기자 = 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용 업체 직원을 대상으로 악성 전자우편을 발송, 해킹을 시도한 사건이 북한 소행으로 드러났다.

20일 경기남부경찰청에 따르면 올해 2월 연말정산 시기에 맞춰 '원천징수영수증'으로 위장한 악성 전자우편이 한미연합연습 전투모의실에 파견된 업체 직원들에게 발송됐다.

전자우편을 수신한 직원들이 문서 실행을 시도했고, 미 국방 전산망 보안시스템에 의해 악성코드가 차단되면서 해킹 공격 사실이 확인됐다.

미군 수사기관은 경찰과 정보공유를 통해 피해 사실을 확인하고, 경기남부청이 미군 수사기관과 공조해 추적 수사와 피해 보호조치를 병행했다.

수사 결과 이 같은 공격을 일으킨 곳은 북한 해킹조직으로 파악됐다. 북 해킹조직은 지난해 4월부터 국내 워게임 운용 업체를 해킹하기 위해 악성 전자우편을 지속 발송한 것으로 조사됐다.

올해 1월에는 업체 소속 행정직원 전자우편 계정을 탈취해 업체 컴퓨터에 악성코드를 설치, 이후 원격접속을 통해 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하기도 했다. 아울러 업체 전 직원 신상정보도 빼갔다.

북 해킹조직은 이렇게 탈취한 정보를 활용해 올해 2월 원천징수영수증으로 위장한 전자우편을 보냈다. 다행히 미 국방 전산방에서 악성코드가 차단돼 군 관련 정보는 유출되지 않았다.

다만 일부 직원이 해당 전자우편이 열리지 않자 이를 외부 계정으로 재전송해 열람하면서 개인 컴퓨터가 감염되는 사례가 발생했다.

경찰은 조사 과정에서 공격에 사용된 IP가 2014년 벌어진 '한국수력원자력 해킹 사건'과 일치한 것을 확인했다. 또한 이번 사건에 사용된 악성코드가 탈취한 자료를 자동 전송하는 기능을 포함했다는 사실도 밝혀냈다.

경찰은 이 같은 점과 ▲경유지 구축 방법 등 기존 공격 유사성 ▲북한식 어휘인 '념두(염두)' 사용 ▲한미연합연습 시기 공격 등을 종합 고려해 이번 사건이 북한 해킹조직인 일명 '김수키(Kimsuky)' 소행으로 판단했다.

경찰은 오는 21일부터 진행되는 한미연합 군사연습인 '을지 자유의 방패(UFS)'를 한 달여 앞둔 지난 7월 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인해 미군 수사기관과 공조수사를 이어가고 있다.

아울러 경찰과 미군 수사기관은 피해 업체 공용·개인 컴퓨터에 악성코드 감염 여부를 점검하는 등 보호조치를 진행하고 추가 피해 예방을 위해 한미연합연습 참여 근무자 대상 보안교육을 실시했다.

이상현 경기남부청 안보수사과장은 "한미 간 유기적 협업과 선제 조치로 주한미군 자료유출을 예방했다"며 "국가안보를 위협하는 북한 사이버 공격에 적극 대응할 것"이라고 말했다.

[수원=뉴시스] 양효원 기자 = 북한 해킹조직 '김수키'의 한미연합연습 전투모의실 파견 국내 워게임 운용 업체 해킹 공격 개요도. (사진=경기남부경찰청 제공) 2023.8.20. hyo@newsis.com *재판매 및 DB 금지

[수원=뉴시스] 양효원 기자 = 북한 해킹조직 '김수키'의 한미연합연습 전투모의실 파견 국내 워게임 운용 업체 해킹 공격 개요도. (사진=경기남부경찰청 제공) 2023.8.20. [email protected] *재판매 및 DB 금지