"北 추정 해커, IT 관련 웹사이트서 신분 위장해 외화벌이”

변지희 기자
입력 2019.04.18 13:05 수정 2019.04.18 13:25
킴수키의 일원이 자신의 신분을 위장해 만든 것으로 추정되는 계정./RFA 캡처
북한과 연계된 것으로 추정되는 해커가 정보기술(IT) 프로그램 개발 관련 해외 사이트에서 신분을 위장해 활동하며 외화벌이를 하고 있다고 자유아시아방송(RFA)이 17일(현지시각) 보도했다.

RFA는 이날 "한국의 민간 보안업체 이스트시큐리티가 IT 프로그램 제작 수주를 받는 해외 인터넷 사이트에서 ‘킴수키(kimsuky)’의 일원으로 추정되는 해커의 활동을 포착했다고 밝혔다"고 보도했다.

킴수키는 지난 2014년 한국수력원자원의 원전 설계도 등이 유출된 '한수원 유출 사건'의 배후로 지목된 해커 조직이다. 정부합동수사단은 2015년 3월 조사 결과를 발표하면서 "한수원 유출 사이버테러 사건은 북한 해커조직의 소행으로 판단된다"며 "이번 범행에 사용된 악성코드는 킴수키 등 북한 해커조직이 사용하는 것으로 알려진 악성코드와 구성 및 동작 방식이 거의 동일하다"고 했다.

RFA는 "이스트시큐리티 측은 이 해커가 그동안 사용한 기법이 한수원 해킹 등 과거 북한의 소행으로 추정됐던 사건에서 사용된 기법과 유사하다고 분석했다"고 전했다.

이번에 이스트시큐리티가 공개한 자료에 따르면 킴수키의 일원으로 추정되는 해커는 IT 프로그램의 제작을 의뢰하고 이를 수주하는 해외 웹사이트인 프리랜서(freelancer), 크립토랜서(Cryptolancer), 구루(guru) 등에서 자신의 신분을 위장해 활동하고 있는 것으로 전해졌다. 크립토랜서의 경우 가상화폐와 관련한 업무를 할 수 있는 인력과 의뢰인을 연결해주는 웹사이트다.

한국의 IT 프로그램 제작 주문을 받는 웹사이트인 위시캣(wishket)에서도 위장 신분으로 프로그램 제작 수주 활동을 하고 있었다. 이 해커는 위시캣 사이트의 자기소개란에 "8년의 프로그램 개발 경험을 가지고 있으며 가상화폐 개발에 적극 참여한 바 있고 가상화폐들을 개발한 경력이 있다"고 밝혔다.

RFA에 따르면 이 해커가 북한과 연계된 것으로 확인될 경우 이 해커와 거래한 의뢰인들은 모두 지난 2016년 채택된 미국 대통령 행정명령 13722호, 즉 소프트웨어 거래와 북한 근로자 활용 등을 금지하는 미국의 독자 대북제재 대상이 되는 것으로 전해졌다.

RFA는 문종현 이스트시큐리티 이사를 인용해 "이 해커의 의뢰인들은 대부분 영어를 구사하는 사람들"이라며 "한국인들에게도 프로그램 제작 의뢰를 받는데 기본적으로 영어권 고객들을 유치하기 위해 자신을 미국인으로 위장하는 것으로 추정된다"고 밝혔다. 또 "이들이 가상화폐 거래소의 보안 관련 프로그램 제작건을 수주하면 의뢰 프로그램에 악성 프로그램을 은밀히 삽입할 수도 있다"고 지적했다.


춘천마라톤

오늘의 정보