北 '김수키' 소속 해커 컴퓨터 해킹했더니 韓 정부·기업 침투 증거 발견

"北해커, 中정부 해커들과 공개적으로 협력하며 도구와 기술 공유"

[파이낸셜뉴스] 북한이 해킹을 통해 가상자산 등 외화벌이를 하는 것으로 알려진 가운데, 북한 해커의 컴퓨터를 해킹했다는 주장이 나왔다.

12일(현지시간) IT 전문 매체 테크크런치에 따르면, '세이버(Saber)'와 '사이보그(cyb0rg)'라는 이름을 각각 쓰는 두 해커는 북한 해커의 컴퓨터에 침투했다며 그 내용을 사이버보안 전자잡지 '프랙(Phrack)'의 최신호에 실었다.

이들 해커는 기사에서 자신들이 '김(Kim)'이라고 불리는 북한 해커가 사용하던 작업용 컴퓨터에 침투했다고 밝혔다.

테크크런치는 "이번 사건은 '김수키(Kimsuky)'의 내부 활동을 들여다본, 거의 전례 없는 사례"라며 "그동안 주로 보안 연구자나 기업들이 데이터 유출 사건을 분석했지만, 두 해커가 직접 조직 구성원의 컴퓨터를 해킹한 것은 처음"이라고 전했다. 이 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 있었으며, 김은 북한 정찰총국 산하 해커 조직인 김수키 소속이라고 했다.

김수키는 북한 정부 내부에서 활동한다고 널리 알려진 고급지속위협(APT) 그룹으로, 한국을 비롯한 각국 정부 기관과 북한 정보기관이 관심 가질 만한 목표를 집중적으로 공격한다. 또 김수키는 다른 해커 조직과 마찬가지로 사이버 범죄 작전도 수행하며, 가상자산을 훔친 후 세탁해 북한의 핵무기 프로그램 자금을 조달하는 것으로 알려져 있기도 하다.

두 해커는 "이번 사건은 김수키가 중국 정부 해커들과 얼마나 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다"고 밝혔다.

그러면서 이들은 "김수키가 한국 정부 네트워크와 기업 여러 곳을 해킹한 증거를 발견했다"고도 주장했다.

구체적인 기관과 기업명은 밝히지 않았다.

이어 이들 두 해커는 "김을 북한 해커로 특정할 수 있었던 것은, 파일 설정을 비롯해 과거 김수키의 것으로 알려진 도메인 등 단서와 흔적 덕분"이라고 설명했다. 이들은 "김이 근무 시간을 엄격하게 지켰으며, 평양 시각 기준 매일 오전 9시쯤 접속하고 오후 5시쯤 접속을 끊는 패턴을 보였다"고 덧붙였다.

whywani@fnnews.com 홍채완 기자