MS가 고소한 北 해킹 조직 ‘탈륨’…국내 탈북민 공격한 ‘김수키’

마이크로소프트 사이버범죄센터. /사진=마이크로소프트 블로그 캡처

최근 미국의 마이크로소프트사(MS)가 자신들의 인터넷 계정을 도용하는 해킹조직 ‘탈륨(Thallium)’을 연방 법원에 고소한 가운데, 이들이 지난 2014년 한국수력원자력을 공격한 김수키(Kimsuky)인 것으로 나타났다. 

문종현 이스트시큐리티 시큐리티대응센터 이사는 3일 데일리NK에 “탈륨이 해킹에 사용한 지표들을 분석한 결과 김수키와 일치한다”며 “탈륨이 김수키와 동일 조직으로 보인다”고 말했다. 

최근 국내외 언론은 MS가 연방 법원에 고소한 ‘탈륨’이 2010년 초부터 활동한 APT37과 동일한 조직이라고 보도한 일부 매체와 다소 차이가 있는 의견이다. 

국내외 보안 업체들은 해킹 조직명에 각사가 명명한 고유한 이름을 붙이고 있다. 예를 들어 ‘APT37’은 해외 보안업체 파이어아이(Fireeye)가 붙인 이름이며 국내 보안업체 이스트시큐리티 시큐리티대응센터(ESRC)는 이들을 ‘금성121(Geumseong121)’로 부른다.

이 밖에도 안랩 시큐리티 대응센터(ASEC)는 ‘레드 아이즈(Red Eyes)’라 칭하며 시스코 탈로스는 ‘그룹123(Group123)’ 등으로 부르고 있다.

문 이사는”APT37이 김수키 조직과 직간접적으로 연관된 정황이 많아 구분하기 어려워 발생한 일로 보인다”며 “완전히 잘못된 분석은 아니지만 엄밀하게 따지면 김수키가 맞다”고 설명했다. 

김수키는 지난해 국내 북한 관련 정치인, 학자, 탈북민, 대북단체 관계자들을 대상으로 지능형 지속 위협 공격(APT)을 지속해왔다. 

이들은 지난해 12월 ‘청와대 녹지원 상춘재 행사 견적서’, 4월 ‘한미정상회담 정부관계자 발언 내용’이라는 문서에 악성코드를 심어 관계자들을 공격했다. 또한, 10월과 5월에는 각각 통일연구원과 통일부를 사칭하는 방식을 사용하기도 했다. 

전 세계를 대상으로 전방위적인 해킹공격을 시도하고 있는 것이다.

마이크로소프트를 사칭해 탈륨이 사용자에게 보낸 이메일. ‘m’을 ‘r’과 ‘n’으로 교묘하게 바꿔 사람들을 속였다. /사진=마이크로스포트 블로그 캡처

북한은 김수키 이외에도 라자루스(Lazarus), 금성121 등 해킹조직을 운영하는 것으로 알려졌다.

라자루스는 2014년 소니 픽처스 해킹 사건, 2016년 방글라데시 중앙은행 해킹 사건으로 유명한 조직이며 금성121은 국내외의 북한 관련 정보를 취급하는 인물, 기관을 공격해왔다. 

해킹의 특성상 공격자의 국가를 특정하기가 상당히 어려워 아직 알려지지 않은 북한 해커 조직이 더 있을 것으로 추정된다.

한편, 북한은 장기간 교착 상태인 북미 비핵화 협상 관련 정보 수집과 대북제재로 인한 자금난을 해소하기 위해 새해에도 지속적인 해킹 공격을 시도할 것으로 보인다.

미국의 IBM사 사이버보안연구소 IBM X-Force가 지난달 발표한 ‘2020 사이버 안보 전망’ 보고서는 북한이 사이버 범죄 분야에서 재정적 이익을 얻기 위해 상당한 힘을 쏟을 것이라고 전망했다.

이에, 전문가들은 모르는 사람에게 전달받은 이메일의 첨부 파일이나 URL 링크, 안드로이드 앱 등은 열어보거나 설치하지 말것을 당부하고 있다.