"북한 해커 컴퓨터 해킹해 보니…韓 정부·기업 침투 흔적 포착"

北 해커 컴퓨터 침투 정황, 보안 전문지 통해 공개

[사진=게티이미지뱅크]

북한이 해킹을 통해 가상자산 등 외화 확보에 나서는 가운데, 북한 해커가 실제 사용하는 컴퓨터를 해킹했다는 주장이 제기됐다.

12일(현지시간) IT 전문매체 테크크런치에 따르면 ‘세이버(Saber)’와 ‘사이보그(cyb0rg)’라는 이름을 쓰는 두 해커가 북한 해커의 작업용 컴퓨터에 침투해 확보한 내용을 사이버보안 전자잡지 ‘프랙(Phrack)’ 최신호에 게재했다.
 
두 해커는 ‘김(Kim)’으로 지칭한 해커의 워크스테이션을 해킹했다며, 해당 장비에는 가상머신(VM)과 가상사설서버(VPS)가 설치돼 있었다고 밝혔다. '김'은 북한의 해킹 그룹 '김수키'에 소속된 해커로 추정된다.
 
테크크런치는 “이번 해킹은 사이버보안 업계가 통상 침해사고 분석을 통해 간접적으로 정보를 파악하는 방식과 달리 그룹 구성원의 개인 시스템을 직접 해킹해 자료를 확보한 거의 전례 없는 사례”이라고 평가했다.

 
‘김수키’는 북한 정부 내부에서 활동하는 것으로 널리 알려진 고급지속위협(APT) 그룹으로, 한국 등 각국 정부기관과 언론, 북한 정보기관이 주목할 만한 목표를 지속적으로 공격하는 것으로 알려져 있다. 이들은 암호화폐 탈취·세탁을 통한 북한 핵무기 프로그램 자금 조달 등 사이버 범죄도 병행한다.
 
두 해커는 “이번 사건은 김수키가 중국 정부 해커들과 얼마나 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다”고 적었다.
 
이들은 그러면서 김수키가 여러 한국 정부기관과 기업 네트워크를 해킹한 증거, 이메일 주소, 해킹 도구, 내부 매뉴얼, 비밀번호 등 다양한 데이터를 확보했다고 주장했다. 다만, 구체적인 기관과 기업명은 밝히지 않았다.
 
이들은 김을 북한 해커로 특정한 근거로 파일 설정과 과거 김수키로 추적된 도메인 등 여러 ‘단서와 흔적’을 제시했다. 특히 김이 평양시각 기준 매일 오전 9시 전후로 접속해 오후 5시께 접속을 종료하는 등 엄격한 근무 패턴을 보였다고 덧붙였다.