오수연기자
북한 해커조직 '김수키(Kimsuky)' 소속 해커의 컴퓨터를 해킹해 내부 자료를 확보했다는 주장이 나왔다. 이 해커는 한국 정부 기관과 기업 등을 공격하고, 중국 해커와도 협력한 것으로 나타났다.
12일(현지시간) IT 전문매체 테크크런치에 따르면 '세이버(Saber)'와 '사이보그(cyb0rg)'라는 이름의 두 해커는 북한 해커의 컴퓨터에 침투했다며 그 내용을 사이버보안 전자잡지 '프랙(Phrack)' 최신 호에 실었다.
이들은 자신들이 '김(Kim)'이라고 불리는 해커가 사용하던 작업용 컴퓨터에 침투했다고 밝혔다. 이 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 있었다. 두 해커는 '김'이 북한 정찰총국 산하 해커조직인 '김수키' 소속이라고 했다.
'김수키'는 북한 정부 내부에서 활동하는 것으로 널리 알려진 고급지속위협(APT) 그룹으로, 한국을 비롯한 각국 정부 기관과 북한 정보기관이 관심 가질 만한 목표를 집중적으로 공격한다. 가상자산을 훔치고 세탁해 북한 핵무기 프로그램에 자금을 지원하는 등 다른 해커 조직과 마찬가지로 사이버 범죄 작전도 수행하는 것으로 알려져 있다.
테크크런치는 "이번 해킹은 '김수키'의 내부 작전을 들여다볼 수 있는 전례 없는 기회를 제공한다"며 "주로 데이터 유출 사건을 조사한 기존 보안 연구자나 기업들과 달리 이번 사건은 두 해커가 직접 김수키 조직 구성원의 컴퓨터를 해킹했다"고 밝혔다.
두 해커는 "이번 사건은 '김수키'가 중국 정부 해커들과 얼마나 공개적으로 협력하고 도구와 기술을 공유하는지 보여준다"고 전했다.
이들은 구체적인 기관과 기업명은 밝히지 않았지만 '김수키'가 한국 정부 네트워크와 기업 여러 곳을 해킹한 증거를 발견했다고 주장했다. 또 이메일 주소와 '김수키'가 사용한 해킹 도구, 내부 매뉴얼, 비밀번호 등 다양한 데이터를 발견했다고 전했다.
두 해커는 '김'을 북한 해커로 특정할 수 있었던 것은 파일 설정과 과거 '김수키'의 것으로 알려진 도메인 등 단서와 흔적 때문이라고 설명했다. '김'이 근무 시간을 엄격하게 지켰으며, 평양 시각 기준으로 항상 오전 9시쯤 접속하고 오후 5시쯤 연결을 끊는 패턴을 보였다고 밝혔다.