또 털렸다...해킹당한 ‘북한 해커’ PC서 韓 정부·기업 침투 흔적

북한 정찰총국 산하 해킹조직 ‘김수키’(Kimsuky) 소속 해커의 작업용 컴퓨터가 외부 해커들의 침투를 받으면서, 그동안 베일에 가려졌던 북한의 사이버 작전 실태가 세상 밖에 드러났다.

12일(현지시간) IT 전문매체 테크크런치에 따르면, ‘세이버’(Saber)와 ‘사이보그’(cyb0rg)라는 필명을 쓰는 두 해커는 북한 해커의 컴퓨터를 해킹했다고 주장하며, 그 내용을 사이버보안 전자잡지 ‘프랙’(Phrack) 최신호에 공개했다.

이들이 침투한 시스템은 ‘김’(Kim)이라는 이름으로 불린 해커가 사용하던 작업용 컴퓨터로, 가상머신(VM)과 가상사설서버(VPS)가 설치돼 있었다. ‘김’은 북한 정찰총국 산하의 고급지속위협(APT) 그룹 ‘김수키’ 소속으로, 한국 정부 네트워크와 다수 기업에 침투한 흔적이 발견됐다고 이들은 주장했다. 구체적인 기관명이나 기업명은 공개하지 않았다.

두 해커는 ‘김수키’가 중국 정부 해커들과 도구·기술을 공유하며 공개적으로 협력한 정황도 포착했다고 밝혔다. 확보한 자료에는 이메일 주소, 해킹 도구, 내부 매뉴얼, 비밀번호 등 민감 정보가 포함돼 있었다.

‘김수키’는 한국을 비롯해 각국 정부기관과 언론, 북한 정보기관이 관심을 가질 만한 표적을 장기간 공격해온 조직이다. 이들은 암호화폐를 탈취해 세탁한 뒤 북한의 핵무기 개발 자금으로 활용하는 것으로 알려져 있다.

두 해커는 ‘김’을 특정할 수 있었던 이유로 파일 설정과 과거 ‘김수키’와 연관된 도메인 기록 등을 제시했다. 또한 ‘김’은 평양 시각 기준 매일 오전 9시쯤 접속을 시작해 오후 5시쯤 종료하는 규칙적인 근무 패턴을 보였다고 덧붙였다.

테크크런치는 이번 사건을 "북한 해킹 조직 내부를 직접 들여다본 극히 드문 사례"로 평가하며, 데이터 유출 분석에 의존하던 기존 보안 연구와 달리 실제 조직원의 작업 환경을 확인한 점에 주목했다.

미국은 중국발 사이버 위협을 군사·경제·정치 안보 전반의 중대 리스크로 규정하고 있다. 특히 중국 해커들의 해외 선거 개입, 정부기관 해킹, 정치 여론 조작 등을 경계하며 사이버 안보 협력을 동맹국 전반으로 확장하고 있다. 이런 상황에서 중국이 북한 해커와 기술·인프라를 공유했다는 명확한 정황이 드러난다면, 이는 단순 해킹 사건을 넘어 중국이 북한의 불법 활동을 방조·지원하는 증거로 해석될 수 있다. 미국이 이를 외교·안보 차원에서 문제 삼을 경우, 미·중 갈등의 새로운 분쟁 요인이 될 가능성이 있다.

한편 국가정보원은 최근 북한 정찰총국 산하 고급지속위협(APT) 그룹 ‘김수키’의 공격 행위를 포착하고 비상 대응령을 발령, 행안부·외교부·방첩사 등에 긴급 보안 조치를 완료했다. 통신사에도 관련 정보가 전달돼 대응이 이뤄졌다.