주)우리신문 김성묵 기자 | 한국 정부가 북한 정부를 배후로 둔 해커조직 ‘김수키(Kimsuky)’에 대한 독자 제재를 결정했다. 김수키를 제재 대상으로 지정한 것은 전 세계에서 최초다. 제재 결정으로 인한 실효성보다는 사이버위협에 방관치 않겠다는 정부 의지의 표명으로 풀이된다.

2일 한미 양국은 북한 해커조직 김수키에 대한 한미 정부 합동 보안 권고문을 발표했다. 한국을 비롯해 전 세계를 대상으로 정보·기술 탈취를 이어온 데 대한 조치다. 한국 정부는 권고문 발표와 함께 세계 최초로 김수키를 대북 독자 제재 대상으로 지정했다.

김수키는 2014년 한국수력원자력을 공격한 배후로 알려진 해킹그룹이다. 국가정보원(이하 국정원)이나 한국인터넷진흥원(KISA)과 같은 기관에 더해 SK쉴더스, 안랩, 이글루코퍼레이션을 비롯해 마이크로소프트(MS), 맨디언트, 카스퍼스키 등 국내외 사이버보안 기업들 다수가 주목하고 있는 조직이다.

해커조직은 자신의 정체를 숨기기 위해 여러 이름을 혼용해 사용하곤 한다. 국정원은 김수키가 ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로도 활동 중인 북한 해커조직이라고 알린 바 있다. 이밖에 베이비샤크, 애플시드, 플라워파워, 골드드래곤 등도 김수키의 하부 조직으로 추정된다.

김수키의 주된 공격 방법은 특정인이나 조직을 대상으로 정체를 숨겨 접근하는 스피어피싱 수법을 주로 사용하는 것으로 알려졌다. 이메일을 통해 악성코드 감염이나 피싱사이트 접속을 유도하는 방식이다. 북한 및 외교·안보 전문가들이 주요 대상인데, 한국수력원자력이나 원자력연구원과 같은 곳을 공격해 기술을 훔쳐내기도 한다.

김수키를 비롯한 북한 해커조직은 지난 몇년간 암호화폐 탈취 등 금전 갈취에 힘쏟아 왔다. 국정원은 2022년 북한 해커조직이 해킹으로 벌어들인 수익이 8000억원 이상일 것으로 파악하고 있다. 핵실험으로 국제사회의 경제제재를 받는 가운데 미사일 발사 등의 비용을 충당하기 위해 정권 차원에서 해킹을 주도하는 중이다.

지난 북한 ‘위성’ 개발에도 해킹 기술이 도움을 줬다는 것이 정부 판단이다. 정부는 “김수키와 북한 해커조직은 전 세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단기술을 절취해 북한의 소위 위성 개발에 직간접적인 관여를 해왔다”고 발표했다.

또 “이번 조치는 북한이 국제사회의 경고에도 불구하고 소위 위성 명목의 장거리 탄도미사일을 발사한데 이어 재차 발사를 감행하겠다고 위협하고 있는 데 대응해, 북한이 도발에 대한 대가를 반드시 치르도록 하겠다는 우리 정부의 강력한 의지를 보여주는 것”이라고 밝혔다. 5월31일 실패로 돌아간 북한 발사체 ‘천리마 1형’에 대한 대응 조치라는 의미다.

이번 제재 조치는 외국환거래법, 공중 등 협박목적 및 대량살상무기확산을 위한 자금조달행위의 금지에 대한 법률에 근거한다. 제재 대상자로 지정된 대상과 외환거래 또는 금융거래를 하기 위해서는 한국은행 총재 또는 금융위원회의 사전 허가가 필요하다. 허가받지 않고 거래할 경우 관련법에 따라 처벌받을 수 있다.

다만 제재가 실효성 있는가에 대해서는 의견이 갈린다. 남·북간 교류가 전면 차단된 상태에서 제재 전후로 달라질 것이 없다는 지적이다. 정부는 “이번 조치는 김수키와 북한 해커조직의 제반 활동에 대한 국내외 경각심을 제고해 이들의 활동을 위축시키고 더 안전한 사이버환경을 조성하는 데 기여할 것”이라고 전했다.

독자 제재와 함께 국정원, 경찰청, 외교부는 미국 연방수사국(FBI), 국무부, 국가안보국(NSA)과 김수키에 대한 한미 정부 합동 보안권고문도 발표했다. 기자나 학자, 싱크탱크 연구원, 정부 관료나 법집행기관, 포털사이트 관리자 등을 사칭한 실제 이메일 교신 사례 등도 담았다. 김수키의 해킹 수법을 상세히 알려 경각심을 키우고 피해가 발생하지 않도록 한다는 차원에서다.

권고문은 “만약 스피어피싱 작전의 공격 대상이 됐다고 여겨진다면, 실제 침해가 발생했는지 여부와 관계없이(특히 귀하께서 주요 표적 분야의 일원이라면) 신고해 달라”고 안내했다.

한편 이번 김수키 제재는 윤석열 정부들어 8번째 대북 독자제재 조치다.