美·韓 정보기관, 북 해킹그룹 '김수키' 보안주의보
한국과 미국의 정보기관이 북한 해커의 사이버공격에 대한 보안 주의보를 발표했다. 최근 해커뉴스 등 외신에 따르면 미국 국가안보국(NSA)은 미 국무부(DOS), 연방수사국(FBI)을 비롯해 대한민국 외교부, 경찰청, 국가정보원과 협력해 북한 해킹그룹 김수키(Kimsuky)를 대상으로 보안주의보를 내렸다. 이번 보안주의보는 북한 정부에서 지원하는 해킹그룹을 제재함으로써 북한 정권의 정보수집 활동을 제한하기 위함이다. 이에 우리 정부는 지난 2일 '김수키'를 독자 대북제재 명단에 올렸다. 롭 조이스 NSA 사이버 보안국장은 “김수키 등 북한 해커는 한국의 안보관련 정보를 수집하기 위해 언론인, 학자, 공무원 등을 대상으로 공격을 집중하고 있다”며 "미국과 한국 정부는 이런 해커조직이 북한 정권에 광범위한 정보 수집 및 스파이 능력을 제공한다는 것을 지속적인 정보 수집을 통해 확인했다"고 성명서를 통해 밝혔다. 이어서 "해커의 타깃이 된 일부 기관은 자신의 연구와 보안환경의 중요성을 인식하지 못해 이런 공격으로 인한 위협을 과소평가할 수 있지만, 북한은 이 정보에 크게 의존하고 있다”며 “보안주의보는 북한의 사이버공격에 대응하기 위한 한미 정보기관 실무 그룹의 구체적인 노력의 결과이자 보안의 중요성을 인식시키기 위한 새로운 계기”라고 강조했다. 보안주의보에서 주요 해킹그룹으로 지목된 김수키는 북한의 정보기관인 정찰총국(RGB) 산하에 소속된 것으로 알려졌다. 2012년부터 APT37, 탈륨, 벨벳천리마 등 여러 활동명을 사용해 한국의 공공 및 민간 기업을 비롯해 정치인, 정부 관계자, 언론인, 인권 활동가, 탈북자 등을 노려 수집한 정보를 북한 정부에 전달했다. 외교부는 김수키가 2014년 한국수력원자력 해킹, 2021년 서울대병원 개인정보 유출을 비롯해 한국항공우주산업 분야를 해킹해 국내 무기와 인공위성, 우주 관련 첨단기술을 빼돌려 북한의 위성 개발에 직간접적인 관여해왔다고 밝혔다. 또한 훔친 개인정보나 기관의 컴퓨팅 파워를 이용해 채굴한 암호화폐로 자금지원도 참여한 것으로 나타났다. NSA는 정치인, 정부 관계자, 언론인 등 북한 해커의 타깃이 될 수 있는 관계자들은 사이버공격을 막기 위해 항상 보안프로그램을 최신화하고, 접근하는 상대의 위장 방식을 숙지하는 캠페인을 진행할 것을 권고했다. 성명서에 따르면 해커들은 언론인이나 방송 작가로 위장하거나 또는 훔친 개인정보를 이용해 인터뷰, 설문조사 또는 연구논문 작성을 요청하는 식으로 접근한다. 경계심을 풀기 위해 초기 이메일에는 악성코드 등을 포함하지 않는다. 하지만 이후 공식 웹사이트로 위장한 도메인으로 유도하거나 악성코드가 담긴 문서 등을 이용해 PC를 감염시킨다. NSA는 “조직 내에서 지속적인 보안 훈련으로 웹사이트를 방문하거나 첨부파일을 열 때의 위험에 대한 인식을 높여 피싱 공격에 대한 사용자 반응을 강화해야 한다”며 “특히 원격 시스템이 활성화된 지금 다중 인증(MFA)과 가상 데스크톱 인프라(VDI) 등을 적용해 잠재적인 위협을 철저히 차단해야 한다”고 강조했다.
