국제 해커들이 북한 정찰총국 산하 해킹조직 ‘김수키(Kimsuky·APT43)’ 소속 해커의 작업용 컴퓨터를 직접 해킹해 내부 자료를 확보했다. 북한 해커 개인의 워크스테이션이 외부 공격으로 뚫린 사례는 극히 드물어, 이번 사건은 북한 사이버 작전의 실제 운영 방식을 보여주는 중요한 사례로 평가된다.
12일(현지시간) IT 전문매체 테크크런치와 사이버보안 전자잡지 ‘프랙(Phrack)’에 따르면, ‘세이버’(Saber)와 ‘사이보그’(cyb0rg)라는 이름을 사용하는 국제 해커 2명은 ‘김(Kim)’으로 불리는 북한 해커의 컴퓨터에 침투했다. 해당 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 설치돼 있었으며, 분석 결과 김은 북한 정찰총국 산하 고급지속위협(APT) 조직인 김수키 소속으로 확인됐다.
‘김수키’라는 이름의 기원과 정체
‘김수키(Kimsuky)’라는 명칭은 2013년 한국 정부기관과 언론사를 겨냥한 피싱 이메일 캠페인이 포착되면서 처음 알려졌다. 당시 발견된 공격 이메일 계정의 사용자명이 ‘kimsuky’였고, 이를 근거로 보안 업계가 해당 그룹을 식별했다. 실제 인명이 아닌 이 이름은 북한 정찰총국 산하에서 운영되는 사이버 작전 전담팀을 지칭하는 코드명이다.
김수키는 군사·정보기관과 연계된 조직 구조를 갖추고 있으며, 한국의 정치·외교·군사 분야는 물론 일본, 러시아, 유럽 등 주요 외교·안보 이해관계국까지 활동 범위를 넓혀왔다. 주된 임무는 정부 정책 문서, 외교 전문, 연구 자료 등 전략적 가치가 높은 정보를 장기간 수집하는 것이며, 최근에는 가상화폐와 금융 네트워크 침해를 통한 외화 조달도 적극 수행하는 것으로 알려졌다.
김수키의 공격 방식과 이번 사건의 특징
김수키는 표적형 피싱(spear phishing)을 기반으로 맞춤형 사회공학 기법을 활용하고, 악성코드를 단계적으로 배포해 목표 시스템에 침투한다. 주로 정상 문서로 위장한 첨부 파일에 악성 스크립트를 심어 초기 접근 권한을 확보한 뒤, 내부 네트워크로 이동해 명령·제어(C2) 서버와 통신하며 장기적으로 자료를 수집한다.
이번 사건에서는 이러한 일반적 전술 외에도, 해커들이 김수키 구성원의 실제 작업 환경에 접근해 내부 매뉴얼, 암호 관리 파일, 전용 해킹 도구, 그리고 한국 정부·민간 기업 네트워크 침해 기록을 확보했다고 주장했다. 특히 중국 정부 해커와의 협력 정황, 도구·기술의 상호 공유 사례가 확인되면서 김수키의 공격 역량이 단일 조직을 넘어 국가 간 사이버 연계망에 기반하고 있다는 점이 부각됐다.
김수키 주요 공격 타임라인
| 연도 | 주요 공격 사례 |
|---|---|
| 2013년 | 한국 통일부, 외교부, 청와대 대상 피싱 캠페인 식별 |
| 2014~2016년 | 일본, 러시아, 유럽 외교기관 공격, 국방·외교 문서 유출 |
| 2018년 | 국내외 가상화폐 거래소 공격, 유엔 보고서에 자금 사용 명시 |
| 2020년 | 국방·외교 싱크탱크·언론인 대상 스피어피싱 공격 |
| 2022년 | 미국 사이버사령부, 악성코드 변종·C2 인프라 경고 |
| 2023~2024년 | 암호화폐 탈취, AI 연구기관 접근 시도, 러·중 해커 유사 전술 |
국제 제재 및 대응 현황
| 연도 | 주체 | 내용 |
|---|---|---|
| 2015년 이후 | 유엔 안전보장이사회 | 북한 사이버 작전을 핵·미사일 자금 조달 수단으로 규정, 제재 대상 지정 |
| 2018년 | 미국 재무부 | 김수키 포함 북한 해커·연계 기관 제재, 자산 동결·거래 차단 |
| 2020년 | 미국·영국 정부 | 김수키 해킹 기법·인프라 공개, 보안 강화 권고 |
| 2022년 | 유럽연합(EU) | 김수키 금융제재·여행금지 조치 |
| 2024년 | 일본 외무성 | 김수키 조직원 4명 및 기관 자산 동결·거래 |
북한의 사이버 작전은 금융·외교·안보 분야를 넘어 민간 기술·연구 영역으로까지 확대되고 있다. 특히 가상화폐와 블록체인 인프라를 겨냥한 공격은 국제 제재 회피와 외화 확보를 동시에 가능하게 해 주요 국가의 보안 위협으로 꼽힌다.
이번 사건은 단순한 데이터 유출 분석을 넘어, 북한 해커의 실제 작업 환경과 내부 자료가 외부에 직접 노출된 사례로 기록됐다. 드러난 자료는 국제 사회가 향후 북한 사이버 활동을 추적·차단하는 데 중요한 근거로 활용될 것으로 보인다.
김지윤 기자/ hello@sciencewave.kr
Science Wave에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.
1 thought on “김수키는 누구인가? 북한 해킹조직 실체 드러나”