국가정보원이 독일의 정보기관과 손잡고 북한 해커조직 ‘킴수키(Kimsuky)’ 해킹 수법을 공개하며 ‘악성 이메일’에 대한 각별한 주의를 당부했다. 국정원은 독일 ‘연방헌법보호청(BfV)’과 합동으로 ‘탈륨’ ‘벨벳’ ‘천리마’ 등으로도 불리는 북한 해커조직 ‘킴수키’의 신종 사이버 공격 유형을 다룬 합동 보안 권고문을 20일 발표했다.

북한 정찰총국과 연계된 킴수키는 2014년 ‘한국수력원자력 해킹 사건’으로 국내에 널리 알려졌으며, 이후로도 대한민국 국회 등을 상대로 지속적인 해킹 시도를 벌여 왔다.

국정원과 BfV가 이날 공개한 해킹 수법은 모두 이메일을 통한 정보 절취다. 첫 번째는 특정 대상을 공격하는 ‘스피어피싱’으로 ‘크로미움 브라우저’라는 특정 웹브라우저 이용자를 대상으로 삼았다. 국정원에 따르면 킴수키는 ‘크로미움 브라우저’ 사용자를 대상으로 악성 링크가 포함된 이메일을 보내고, 피해자가 악성 확장프로그램을 설치하도록 유도했다. 피해자가 이를 설치하면 이때부터 킴수키는 별도의 로그인 절차 없이 피해자의 이메일을 실시간으로 훔쳐올 수 있었다. 크로미움 브라우저는 구글에서 개발하는 오픈소스 웹브라우저다.

두 번째는 안드로이드 운영체제를 이용하는 스마트폰 이용자를 대상으로 하는 광범위한 해킹이다. 킴수키는 피싱메일을 통해 확보한 피해자의 구글 아이디와 비밀번호를 이용해 PC에서 피해자의 계정에 로그인했다. 이어 피해자 PC와 휴대전화의 구글 계정이 자동으로 ‘동기화’되면 킴수키는 피해자의 휴대전화에 악성앱을 설치, 스마트폰 자료를 훔쳐갔다고 국정원은 설명했다.

국정원은 “북한 정찰총국과 연계된 킴수키의 최근 공격이 대부분 스피어피싱을 통해 이루어지고 있다”면서 “사용자가 직접 ‘악성 이메일 판별 방법’을 배우고 의심스러운 이메일을 받게 되면 유의사항을 준수하라”고 권고했다.

이번 권고문은 지난 2월 ‘한·미 사이버보안 권고문’에 이어 국정원이 해외 정보기관과 공동 발표한 두 번째 권고문이다. 백종욱 국정원 3차장은 “국정원은 세계 각국과 합동 보안 권고문을 지속해서 발표할 것”이라고 말했다.

최승욱 김영선 기자 applesu@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지