일반적으로 김수키의 공격 사실을 쉽게 알아차리기 어려운 것으로 알려졌다. 최소한 기업이나 정부기관이 안내한 김수키 공격 수법을 숙지해야 피해를 예방하거나 최소화할 수 있다.
대한민국 국가정보원·경찰청·외교부와 미국 연방수사국(FBI)·국무부·국가안보국(NSA)은 김수키의 해킹 수법이 상세히 적힌 한미 정부 합동 보안권고문을 발표했다. 이들의 활동에 대한 경각심을 제고하고, 피해가 발생하지 않도록 의심 활동에 대한 주의와 사이버 보안 조치를 강화할 것을 권고하는 내용이다.
김수키는 주로 사람의 신뢰·사회적 관계를 이용해 사람을 속이는 수법을 써왔다. 비밀 정보를 획득하는 사회공학적 기법을 사용해 사이버 공격을 감행했다는 게 정부 설명이다.
특히 특정인을 속이기 위해 맞춤으로 제작된 이메일과 전자통신 내용을 활용하여 개인정보를 훔치는 공격인 스피어피싱 공격을 주로 감행했다. 스피어피싱을 통해 정보를 탈취해온 것이다.
김수키는 실제 ▲언론사 ▲싱크탱크·대학 ▲정부기관·국회 ▲수사·법집행 기관 ▲포털사이트 관리자 등 믿을만한 개인·단체를 사칭하면서 외교·안보 현안을 이용해 외교·통일·안보·국방·언론 분야 주요 인물에게 접근했다. 이메일에 첨부한 악성 프로그램을 통해 공격 대상의 계정, 기기, 컴퓨터 네트워크 등을 해킹하고 있다.
정부는 북한 소행 스피어피싱 공격의 대상이 됐다고 판단될 경우, 실제 침해가 발생했는지 여부와 관계없이 국정원(111)·경찰청(182)·한국인터넷진흥원(118) 등 소관기관에 신고할 것을 권고했다.
하지만 일반적으로 자연스럽게 이메일에 악성 프로그램을 심어 기관의 정보를 빼내는 경우 이를 알아차리기는 쉽지 않다.
예컨대 네이버 관리자에게서 메일이 왔다고 수취자가 네이버에 직접 전화해서 메일을 보낸 사실을 확인하는 경우는 매우 드물다. 김수키의 해킹 시도인지 실제 기관에서 보낸 메일인지 구분할 방법이 없다는 것이다. 특히 랜섬웨어처럼 프로그램 자체를 마비시키는 수법도 아니라 티나지않게 해킹이 이뤄지기 때문에 피해를 알아차리기도 어렵다.
정부는 이날 발표한 보안권고문에 ▲영어로 작성된 이메일에서는 때때로 어색한 문장구조와 부정확한 문법이 발견되기도 한다 ▲이메일 본문에 북한에서만 사용되는 한국어가 사용되었을 수도 있다 ▲공격에 사용되는 이메일 도메인은 일견 정상적인 언론사 웹사이트 같지만, 기업에서 공식적으로 사용하는 웹사이트 도메인과 일치하지 않다 등 김수키 공격을 알아차릴 수 있는 몇가지 특징을 나열했다.
경찰청 사이버수사국 사이버테러대응과 관계자는 "통상 이메일을 받으면 발신인에게 진짜 보낸 것이 맞냐고 확인하는 경우가 매우 드물기 때문에 해킹 공격인지 알아차리기 통상적으로 어렵다"며 "평소 김수키 공격 수법을 인지하고 있다가 의심되는 사례가 있으면 신고를 많이 해주셔야 수사를 할 수 있는 단초가 되고 보안 정책을 수립하는 근거가 될 수 있다"고 말했다.
이인애 기자 22nae@chosunbiz.com