한국 정부가 2일 북한 해킹 조직으로 알려진 ‘김수키(Kimsuky)’를 세계 최초로 대북 독자제재 대상에 올리면서, 이 조직의 실체와 이번 조치가 어떤 의미가 있는지 등에 관심이 쏠린다.
외교부는 이날 첨단 기술을 빼돌려 북한의 위성 개발에 직간접적인 관여를 해온 김수키를 제재 대상으로 지정한다고 밝혔다.
이번 조치는 북한이 지난달 31일 위성 명목의 장거리 탄도미사일을 발사한 데 이어 조만간 재발사에 나서겠다고 밝힌 지 이틀 만에 이뤄졌다. 북한이 정찰 위성 등의 미사일 발사를 이어갈 경우, 반드시 대가를 치르도록 하겠다는 의지를 정부가 분명히 했다는 해석이 나온다.
국회 국방위원회 위원장인 한기호 국민의힘 의원은 이날 BBC 코리아와의 통화에서 “이번 조치의 핵심은 북한을 향해 미사일 2차 발사 등의 허튼 짓을 하지 말라는 경고 메시지를 보낸 것”이라고 말했다.
이날 국정원과 경찰청, 외교부는 미국 연방수사국(FBI), 국무부, 국가안보국(NSA)과 함께 ‘김수키’에 대한 한미 정부 합동 보안 권고문도 발표했다.
이준일 외교부 북핵외교기획단장은 “김수키 등 북한 해킹 조직들은 전 세계를 대상으로 무기 개발과 인공위성, 우주 관련 첨단기술을 절취해 북한의 위성 개발 등에 직간접적인 관여를 해왔다”고 강조했다.
김수키는 어떤 조직?
북한 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하는 것으로 파악된다. 해킹 그룹 라자루스(Lazarus)가 대표적이며, 김수키 역시 정찰총국 소속으로 알려져 있다.
김수키는 10여년 전부터 한국은 물론 미국 등 서방국을 대상으로 전방위 사이버 공격을 시도해 왔다. 김수키는 유명인을 사칭해 한국의 공공 기관은 물론 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 여러 차례 해왔다.
지난해 있었던 태영호 의원실 사칭 이메일이 대표적이다.
구체적 해킹 수법
지난해 5월 국내 외교·통일·안보·국방 분야 교수 및 연구원 수십 명은 ‘[태영호 국회의원실 세미나] “윤석열 시대 통일 정책 제언” -감사의 인사’란 제목의 이메일을 받았다.
이메일에는 세미나 참가 사례비를 준다며, ‘사례비_지급 의뢰서.docx’란 파일이 첨부돼 있었다. 하지만 이 메일은 김수키가 보낸 가짜 이메일이었다. 수신자가 첨부 파일을 내려받으면 자기도 모르게 해킹 프로그램이 설치되도록 꾸며져 있었던 것으로 확인됐다.
김수키는 지난해 4~10월 국회의원 비서실, 제20대 대통령직 인수위원회 출입기자, 국립외교원 외교안보연구소 등을 사칭하는 이메일을 통일·안보·국방 전문가 등 892명에게 보내 이들의 개인 정보를 빼내려고 시도하기도 했다. 892명 중 가짜 이메일에 속아 개인 정보가 유출되는 피해를 본 사람은 49명에 달하는 것으로 조사됐다.
사람의 신뢰와 사회적 관계를 이용하고, 제작된 이메일과 전자통신 내용을 활용해 비밀 정보를 획득하는 방법을 사용한 것이다.
양욱 아산정책연구원 외교안보센터 연구위원은 BBC 코리아와의 통화에서 “저도 이 조직으로부터 사칭 이메일을 받은 적이 있다”며 “경각심을 가진 탓에 다행히 해킹 피해를 보지는 않지만, 이 조직은 지인이나 유명인 등을 사칭한 이메일을 통해 개인정보들을 탈취하는 수법을 쓰고 있다”고 말했다.
경찰청 국가수사본부에 따르면 지난 2014년 한국수력원자력 해킹 사건과 2021년 서울대병원 개인정보 유출 등도 김수키가 주도했다.
이들은 지난해 4월 ‘뉴스 댓글 요청’이라는 제목의 이메일을 수백 명에게 보낸 것으로도 알려져 있다. 당시 이메일의 제목에는 “안녕하세요, OOO 기자입니다”라고 적혀있었다. OOO 기자는 실제 당시 대통령직 인수위원회 출입기자였다.
최근 ‘김수키’는 국내 국책연구기관 사이트로 위장해 개인정보를 해킹하는가 하면, 인권 단체나 탈북민 후원 조직 등을 겨냥한 사이버 공격을 계속하고 있는 것으로 나타났다.
왜 이제야 제재했나?
그동안 김수키와 라자루스를 비롯한 북한 해킹 조직의 불법 사이버 활동은 급속도로 증가했지만, 이들을 겨냥한 한국 정부의 제재는 다른 나라에 비해 다소 더딘 속도를 보였다.
미국은 2019년부터 라자루스 등 북한의 해킹 조직을 독자제재했고, 일본도 지난해 12월 라자루스를 독자제재하기 시작했다. 한국 정부는 지난 2월 사이버 분야 대북 독자제재 대상으로 라자루스 해킹조직을 지정했다.
일각에선 국가 기밀과 국민의 개인정보를 보호하기 위해 김수키와 같은 해킹 조직을 진작에 대북제재 명단에 올려야 했다는 지적이 나온다.
양욱 연구위원은 “과거 정부는 상당히 대북 유화적인 자세를 취하면서 북한 해킹 조직에 대한 제재 조치를 피해왔던 게 사실”이라며 “반면 윤석열 정부는 북한에 ‘대화면 대화, 대결이면 대결’이라는 원칙적 자세로 접근하다 보니, 북한의 미사일 발사 등의 도발에 즉각 대응하는 태도를 취하고 있는 것”이라고 설명했다.
앞서 윤석열 정부는 지난해 10월 핵·미사일 개발 및 제재 회피에 조력한 북한 인사 15명과 기관 16곳을 독자제재 대상으로 추가 지정하며 대북 제재를 재개한 바 있다.
독자제재 실효성은?
한국 정부의 독자 대북제재 대상으로 지정되면, ‘외국환거래법’ 등에 따라 내국인은 금융위원회의 사전 허가 없이는 이 조직이나 구성원과 거래(가상자산 포함)하는 게 금지된다. 이를 어길 경우 관계 법령에 따라 처벌받을 수 있다. 다만 남북 간 거래가 사실상 전무하다는 점에서 이번 제재가 상징적 조치에 지나지 않는다는 평가가 나온다.
고유환 통일연구원장은 기자와 통화에서 “정부는 ‘북한 김수키 해킹 조직이 우주개발 관련 정보를 해킹했다’고 하는데, 사실 이러한 정보 해킹은 다른 나라들도 다 하는 것”이라며 “독자 제재에 올렸다고 하더라도 정부가 취할 수 있는 추가 조치가 없기 때문에 상징성이 강한 제재”라고 주장했다.
양욱 위원 역시 “이번 조치가 실효성 측면에서는 실행 능력이 떨어지는 것은 사실”이라며 “해킹 조직의 개개인을 정확히 파악해야 그들에 대한 추가 제재가 이뤄질 수 있는데, 그런 부분들을 담보할 수가 없다는 단점이 있다”고 지적했다.
그는 이어 “다만 전반적으로 이러한 제제는 북한이 불법적인 해킹 배후에 있다는 것을 공식적으로 확인하는 절차라는 점에서 매우 의미가 있다”고 말했다.
정치권에선 정부가 북한의 불법 행위에 즉각 대응했다는 점에 주목해야 한다는 의견도 나온다.
한기호 의원은 “최근 우리 정부가 북한을 향해 위성을 빙자한 미사일을 발사할 경우, 반드시 대가를 지불하게 될 것이라고 경고했는데, 북한이 실제로 발사한 마당에 정부로선 아무 조치도 취하지 않는다면 그것도 웃긴 것 아니냐”고 반문했다. 한 의원은 조만간 추가적인 대북 제재도 발표될 것으로 내다봤다.
개인정보 경각심
해킹 공격 사례가 빈번히 발생함에 따라 공공기관과 국민 모두 개인정보 보호에 경각심을 가질 필요가 있다는 목소리도 나온다. 이메일을 확인할 때 발신자 이름을 유심히 살펴보는 것은 물론 주기적인 비밀번호 변경, 계정 보호 조치, 서버 강화 등의 보안에 더욱 신경써야 한다는 것이다.
양욱 연구위원은 “기자나, 의원 등 권위 있는 사람이나 지인의 이름으로 이메일이 오더라도, 기본적인 소통 수단인 전화 등을 통해 실제 그 사람이 이메일을 보낸 게 맞는지 확인해 보는 습관이 필요하다”면서 “결국은 우리 모두가 생활 속 보안 습관을 철저하게 실천해야 한다”고 강조했다.
그는 이어 “국회나 국가 안보, 외교, 통일 분야에서 일하는 담당자들은 민감한 정보들을 다루기 때문에 해킹 보안에 각별히 신경써야 한다”고 덧붙였다.
댓글0