"北해커 컴퓨터 해킹했더니…한국 정부·기업 침투 증거 발견"

클립아트코리아

북한이 해킹을 통해 가상화폐 등 외화 획득에 나서고 있는 것으로 알려진 가운데 북한 해커가 사용하는 컴퓨터를 해킹했다는 주장이 나왔다.

12일(현지시간) 정보기술(IT) 전문 매체 테크크런치에 따르면 '세이버'(Saber)와 '사이보그'(cyb0rg)라는 이름을 각각 쓰는 두 해커는 북한 해커의 컴퓨터에 침투했다며 그 내용을 사이버보안 전자잡지 '프랙'(Phrack) 최신호에 실었다.

이들 해커는 기사에서 자신들이 '김'(Kim)이라고 불리는 해커가 사용하던 작업용 컴퓨터에 침투했다고 밝혔다.

이 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 있었으며, '김'은 북한 정찰총국 산하 해커조직인 '김수키' 소속이라고 했다.

'김수키'는 북한 정부 내부에서 활동하는 것으로 널리 알려진 고급지속위협(APT) 그룹으로, 한국을 비롯한 각국 정부 기관과 북한 정보기관이 관심 가질 만한 목표를 집중적으로 공격한다.

테크크런치는 "이번 사건은 '김수키'(Kimsuky)의 내부 활동을 들여다본 거의 전례가 없는 사례"라며 "그동안 보안 연구자나 기업들이 주로 데이터 유출 사건을 분석했지만, 두 해커가 직접 조직 구성원의 컴퓨터를 해킹한 것"이라고 전했다.

두 해커는 "이번 사건은 '김수키'가 중국 정부 해커들과 얼마나 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다"고 적었다.

다른 해커 조직과 마찬가지로 사이버 범죄 작전도 수행하며, 가상화폐를 훔쳐 세탁해 북한의 핵무기 프로그램 자금을 조달하는 것으로 알려져 있다.

이들은 '김수키'가 한국 정부 네트워크와 기업 여러 곳을 해킹한 증거를 발견했다고 주장했다. 구체적인 기관과 기업명은 밝히지 않았다.

또 이메일 주소와 '김수키'가 사용한 해킹 도구, 내부 매뉴얼, 비밀번호 등 다양한 데이터를 발견했다고 전했다.

이들 두 해커는 '김'을 북한 해커로 특정할 수 있었던 것은 파일 설정과, 과거 '김수키'의 것으로 알려진 도메인 등 단서와 흔적 때문이라고 설명했다.

아울러 '김'이 근무 시간을 엄격하게 지켰으며, 평양 시각 기준 매일 오전 9시쯤 접속하고 오후 5시쯤 접속을 끊는 패턴을 보였다고 덧붙였다.