RFA “소통하며 신뢰 쌓는 것이 특징…국제사회 대응 정보 수집”

북한의 해킹 조직으로 알려진 ‘김수키’의 사이버 공격이 더 정교해지고 있다고 자유아시아방송(RFA)이 24일 보도했다.

RFA에 따르면 미국의 민간 위성 전문가인 제이콥 보글은 지난 8월 27일 한국 연세대학교 정치외교학 교수이자 한국 통일부 소속 당국자 명의로 온 전자우편(이메일)에서 ‘연세대 동맹정치학 연구 모임’이 주최하는 연수에 참석해 한미동맹 등에 관한 견해를 나눠달라는 제안을 받았다.

보글은 일정 조율이 어려워 제안을 거절했는데, 이틀 뒤인 29일 또 다른 행사 초대 메일이 왔다고 한다. 그렇게 지난달 4일까지 이메일을 주고받은 보글은 첨부된 파일을 다운받고 행사 일정과 관련한 링크에도 접속했다.

하지만 이메일을 전송한 사람은 북한 해커였다. 약 한 달간 해커와 이메일을 주고받은 보글은 ‘윈도우보안’ 시스템에서 그동안 다운받은 문서에 악성코드가 있다는 것을 발견했고, 이를 통해 김수키의 해킹 공격이라는 것이 밝혀졌다고 RFA는 전했다.

보글은 RFA와의 인터뷰에서 “해당 기관의 공식 이메일 주소로 ‘당신이 맞나요?’라고 질의했는데, ‘맞습니다’라는 답장이 와서 그렇게 우려하지 않았다”며 “북한 해커 ‘김수키’가 기관이나 대학들의 공식 이메일 주소에 접근하는 데 성공했기 때문에 그들의 공격은 확실히 더 정교해졌다고 할 수 있다”라고 말했다.

특히 영어 문법이나 철자 오류 등 의심스러운 부분이 드러났던 과거와 달리, 이번 ‘김수키’의 해킹 공격에서는 어떠한 수상한 점도 발견하지 못했다고 그는 설명했다. 또 과거에는 공격 대상으로부터 원하는 정보를 탈취하는 것이 해킹의 주된 목적이었다면, 최근에는 꾸준히 소통하며 신뢰를 쌓는 것이 특징이라고 강조했다.

구글 산하 사이버 보안 기업인 ‘맨디언트’의 테일러 롱 수석 분석가는 RFA에 “김수키는 정보를 훔치기 위한 방식을 개발하는 대신 이미 잘 알려진 전문가를 사칭해 실제 관계자로부터 북한과 관련된 정보를 공유받는 것이 훨씬 더 쉽다는 사실을 알게 됐다”라고 지적했다.

아울러 “일반적으로 북한이 미사일이나 핵무기 실험과 같은 주요 군사 활동을 계획하기 전후로 김수키가 행동에 나선다”라며 “이같은 활동에 국제사회가 어떻게 대응하는지에 대한 정보를 수집하는 것”이라고 분석했다.

보글은 이러한 해킹 공격의 목표가 우선 한반도 관련 학자와 연구자들이 한미 동맹을 어떻게 바라보고 있는지 이해하고, 북한의 핵 프로그램에 대한 정책을 내다보면서 한국과 미국의 잠재적인 새로운 정책에 대비하려는 의도라고 주장했다.

롱 수석 분석가도 “‘김수키’의 주요 목표는 정보를 수집해 북한 지도부와 공유하는 것이며, 미국 대선 이후 정책 변화에도 관심을 가질 것”으로 전망했다.

(서울=뉴스1)