北 배후 추정 ‘킴수키’, 국내 외교·안보·통일 분야 웹사이트 해킹

2014년 한수원 공격 이력…특정 분야 대상 공격 이어져

자료사진. © News1 DB

북한이 배후에 있는 것으로 추정되는 사이버 해킹 조직인 ‘킴수키(kimsuky)’ 그룹이 국내 외교·안보·통일 분야 관련 복수의 홈페이지를 해킹한 것으로 파악됐다고 21일 이스트시큐리티 시큐리티대응센터(ESRC)가 밝혔다.

ESRC에 따르면 킴수키 그룹은 ‘공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지’를 해킹해 악성코드를 심었다.

ESRC 측은 “보안 상 문제로 웹사이트의 구체적 이름을 공개하기는 어렵다”라며 “해당 웹사이트들은 외교·안보·통일 분야에 소속되어 있거나, 북한 관련 연구분야에 종사하는 사람들이 제한적으로 접속하는 곳”이라고 밝혔다.

이번 공격은 해당 웹사이트에 접속하는 특정 분야의 인사들을 노렸다는 점에서 ‘워터링 홀(watering hole)’ 공격 방식으로 분류된다.

워터링 홀 공격 방식은 육식동물이 물을 마시기 위해 모이는 초식동물을 습격하기 위해 ‘물 웅덩이(watering hole)’ 근처에 매복 중인 형상을 빗댄 표현이다. 특정한 분야의 웹사이트에 악성코드를 심어 이곳에 접속하는 인사들을 노린 표적형 공격 방식이다.

ESRC 관계자는 “특정 정부가 배후에 있는 공격자들이 사이버 첩보 및 스파이 미션을 목적으로 수행하는 지능화된 사이버 공격 유형의 하나”라고 설명했다.

ESRC는 이번 공격에 사용된 매개변수 문자열 등을 분석한 결과 과거 킴수키 그룹이 사용하던 방식과 거의 동일한 것으로 파악됐다고 밝혔다.

ESRC 측은 킴수키 그룹에 대해 ‘특정 정부의 후원을 받는 조직’으로 분류했으나 정부는 이들이 북한 당국이 운영하는 사이버 테러 조직인 것으로 파악하고 있다.

이들은 2016년 외교부·통일부·국방부와 북한 관련 연구소 종사자들 90여 명의 이메일을 집중 공격한 이력이 있다.

2014년 한국수력원자력 원전 도면의 해킹 사건도 킴수키 조직의 소행으로 파악된 바 있다. 남측 주요 정부 부처나 공공기관에 대한 공격을 담당하고 있는 것으로 해석할 수 있는 부분이다.

올해 1월 북한의 신년사 평가로 위장한 파일을 배포한 공격과, 2월 2차 북미 정상회담 관련 좌담회 초청을 위장한 스피어 피싱 공격도 킴수키 그룹의 소행으로 파악되고 있다.

(서울=뉴스1)