외교안보 전문가들은 올 4월부터 10월 사이 여러 차례 수상한 이메일을 받았다. 그중엔 대통령직인수위원회 출입기자 명의로 한미 정상회담 관련 뉴스링크에 댓글을 부탁하는 내용이 있었다. 태영호 의원실 비서 명의로 수신자가 참석하지도 않은 통일 정책 세미나에 대한 사례비를 준다고도 했다. 무심코 링크나 첨부파일을 열면 악성코드가 삽입돼 메일을 실시간으로 감시당하거나, 컴퓨터 내부 자료까지 도난당한다. 최소 892명에게 메일이 발송됐고, 49명이 피해를 입었다.
▷경찰청은 이 같은 이메일 사칭이 북한 정찰총국 산하 해킹 조직인 일명 ‘김수키(Kimsuky)’의 소행이라고 25일 밝혔다. 김수키가 저지른 8년 전 원전 도면 유출 해킹 사건과 인터넷 주소(IP)가 거의 동일하고, 악성코드의 핵심 기술이 똑같다는 것이다. 경유 서버로 접속한 컴퓨터에선 백신의 북한말 ‘왁찐’을 인터넷에서 검색한 기록도 있었다. 전문가들은 “도둑이 남긴 발자국이 상습범의 것과 일치한 것”이라고 본다.
▷북한의 사이버 공격 능력은 러시아와 함께 세계 1, 2위를 다툰다. 김수키라는 이름을 처음 붙인 곳이 러시아의 한 백신 업체다. 사이버 공격에 사용된 메일 계정이 영문으로 ‘Kimsukyang’(김숙향)이라는 것을 파악하고, 해킹 조직의 이름을 러시아식으로 ‘Kimsuky’로 부른 보고서를 2013년 냈다. 그때부터 국내외 전문가들은 이메일에 악성코드를 숨겨 개인 정보를 빼돌리는 북한 해킹 조직을 김수키로 불렀다.
▷북한은 1990년 ‘조선컴퓨터센터(KCC)’를 설립한 뒤 영재 교육 시스템으로 해커들을 양성해왔다. 특히 김정은이 사이버 전쟁을 핵, 미사일과 함께 3대 전쟁 수단으로 선언한 이후 인력이 2배로 늘었다고 한다. 덩치만 커진 게 아니라 수법도 진화하고 있다. 최근 김수키는 중소기업에 랜섬웨어를 유포해 시스템을 마비시킨 뒤 비트코인을 받고 풀어줬다. ‘총칼 대신 키보드’라는 구호 아래 정보와 기술, 돈을 닥치는 대로 훔쳐가는 이들을 막지 못하면 우리에겐 진짜 총칼 못지않은 위기가 닥칠 수 있다.
정원수 논설위원 needjung@donga.com