시사저널 단독 보도 ... 정계·학계·언론계 등 사회 전 분야 해킹 공격
북한이 문재인 정부의 핵심 안보·외교라인은 물론 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격에 나선 것으로 파악됐다고 시사저널이 단독 보도했습니다.
청와대 국정기획상황실장으로 2018년 남북 정상회담을 총괄한 윤건영 더불어민주당 의원, 2007년 남북 정상회담에서 실무를 맡았던 박선원 국가정보원 기획조정실장, 청와대 평화기획비서관을 지낸 최종건 외교부 1차관이 북한의 해킹 공격을 당했고, 이 밖에 하태경·신원식 국민의힘 의원, 정의화 전 국회의장, 박노자 오슬로대 교수 등도 북한이 타겟한 것으로 알려졌습니다.
북한은 타겟으로 삼은 인물에게 악성코드가 심어진 이메일을 보내 컴퓨터와 스마트폰 등에서 민감한 정보를 탈취하고, 이후 타겟 인물이 소속된 기관·이나 단체의 서버에 침투합니다. 유사한 사례로 원자력발전소 도면이 유출된 2014년 한국수력원자력 해킹 사건이 있습니다.
북한의 해킹 공격이 갈수록 심해지고 있음에도 한국 정부의 대응이 미약하다고 국회 정보위원회 야당 간사를 맡고 있는 하태경 국민의힘 의원은 지적했습니다. 정권 초반 북한과 대화 국면일 때 '분위기를 해칠 수 있다'는 명분으로 사이버 테러 위협을 쉬쉬하는 경향이 있었다면서 북한의 사이버 테러 대응을 총괄하고 있는 국정원이 아무런 정보도 공개하지 않아 피해를 오히려 확산시키고 있다는 것입니다.
보안업계 관계자는 타겟이 된 인물들의 '개인 메일'이 해킹당했다는 것에 주목했습니다. 개인은 해킹 사실을 인지하기 어렵다는 것입니다. 그래서 청와대, 국정원, 외교부, 국방부 등에서 근무하는 공직자들은 정부 당국이 모니터링해 줄 수 없는 개인 메일을 사용하면 안 된다고 조언합니다. 비근한 예로 개인 메일을 사용하다 대형 스캔들을 터뜨린 힐러리 클린턴 전 미국 국무장관이 있습니다.
실제 북한의 해킹 사실을 보도한 시사저널은 스피어 피싱에 사용된 이메일을 확보해 공개했습니다. 한·미 정상회담 당시 신각수 전 주일 대사가 5월19일자에 받은 이메일입니다. 놀랍게도 이메일은 전영기 시사저널 편집국장이 보낸 것처럼 되어 있었습니다. 여기서 그치지 않고 5월24일 또 한 번의 악성 이메일이 발송됐습니다. 시사저널에서 해당 이메일을 사이버 보안업체를 통해 역추적했더니 북한 해킹 그룹 중 하나인 '김수키(Kimsuky)'의 소행인 것으로 드러났습니다.
보안업체 관계자의 말에 따르면 북한 고유의 프로그래밍 알고리즘이 있다고 합니다. 악성 프로그램 코드의 유사성과 연계성을 검토하면 북한 해커 중 누구의 소행인지도 알 수 있다는데, 이메일에 첨부된 파일을 분석해본 결과 김수키가 사용하는 악성코드였다는 것입니다. 첨부된 파일을 누르면 모든 정보가 털리고, PC나 스마트폰은 또다른 숙주가 된다는 것입니다. 다른 타겟을 노리는데 이용된다고 합니다. 이와 관련해 국정원 관계자는 이미 알고 있고, 늘 모니터링 하면서 대응해 확산을 차단하고 있다는 아주 의례적인 답변을 내놓았습니다.
북한 해커들은 추적을 따돌리기 위해 제3국이나 한국의 서버를 숙주로 사용하지 평양에서 바로 들어오지 않는다고 합니다. 바이러스가 숙주를 만들고 그 숙주를 통해 또 다른 숙주를 만들어서 추적을 피하는 것과 같은 이치입니다. 이번에 숙주로 이용된 것은 인턴에 있는 A교회였습니다. 통상 보안이 취약한 민간단체나 종교시설을 노리는데, 특히 종교에 대해서는 사람들이 경계심을 쉽게 허물기 때문에 북한 해커들이 자주 숙주로 삼는다는 겁니다.
2019년 북한 해커 김수키가 이 점을 노리고 A교회 서버에 침투했습니다. 김수키는 A교회 서버를 숙주로 삼고, A교회 이름으로 악성코드가 담긴 이메일을 뿌렸습니다. 여기서 한발 더 나아가 김수키는 A교회 서버를 거점으로 문재인 정부 핵심 안보·외교라인에 대한 해킹 공격을 시작했습니다. 윤건영 의원, 박선원 국정원 기조실장, 최종건 외교부 1차관에 대한 해킹 공격이 A교회 서버를 통해 이뤄졌습니다. 그런데 이들은 이 사실을 인지하지 못하고 있었습니다.
개인 메일이 해킹되면 어떤 피해가 있을까요? 기본적으로 해킹된 메일 계정 주인의 아이디/비밀번호, 주소록과 전화번호 등 민감한 개인정보까지 모두 탈취되고, 개인 메일을 통해 계정 주인이 소속된 기관과 단체, 정부기관의 서버까지 침투할 수도 있습니다.
윤 의원과 박 실장, 최 차관은 모두 문재인 정부 안보·외교 분야의 핵심 인물로, 2018년 남북 정상회담을 성사시킨 주역들입니다. 북한이 이들에게 해킹 공격을 한 시점인 2019년은, 2018년 4월27일 남·북 정상회담을 시작으로 2019년 6월30일 남·북·미 정상회담에 이르는 평화·대화 무드가 조성된 때였습니다. 그러나 문 대통령과 김정은 위원장이 손을 맞잡고 있을 때, 북한 해커들은 남한 정부 요인들을 노리고 있었던 셈입니다.
더 자세한 내용은 6/21일 발행된 시사저널 미주판 81호에 있습니다.