북한 해커가 사용하는 컴퓨터를 해킹했더니 한국 정부 네트워크와 기업들을 해킹한 증거가 발견됐다는 주장이 나왔다.

12일(현지시간) 정보기술(IT) 전문 매체 테크크런치에 따르면 '세이버'(Saber)와 '사이보그'(cyb0rg)라는 이름을 각각 쓰는 두 해커는 북한 해커의 컴퓨터를 해킹했다며, 그 내용을 사이버보안 전자잡지 '프랙'(Phrack) 최신호에 실었다.

이들 해커는 자신들이 '김'(Kim)이라고 불리는 해커가 사용하던 작업용 컴퓨터를 해킹했다고 밝혔다.

이들이 해킹한 컴퓨터에는 가상머신(VM)과 가상사설서버(VPS)가 있었으며, '김'은 북한 정찰총국 산하 해커조직인 '김수키'(Kimsuky) 소속이라고 했다.

테크크런치는 "이번 사건은 '김수키'의 내부 활동을 들여다본 거의 전례가 없는 사례"라며 "그동안 보안 연구자나 기업들이 주로 데이터 유출 사건을 분석했지만, 두 해커가 직접 조직 구성원의 컴퓨터를 해킹한 것"이라고 설명했다.

'김수키'는 북한 정부 내부에서 활동하는 것으로 널리 알려진 고급지속위협(APT) 그룹이다. 이들은 한국을 비롯한 각국 정부 기관과 북한 정보기관이 관심 가질 만한 목표를 집중적으로 공격한다. 다른 해커 조직과 마찬가지로 사이버 범죄 작전도 수행하며, 가상화폐를 훔친 뒤 세탁해 북한의 핵무기 프로그램 자금을 조달하는 것으로 알려져 있다.

두 해커는 "이번 사건은 '김수키'가 중국 정부 해커들과 얼마나 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다"고 했다.

그러면서 '김수키'가 한국 정부 네트워크와 기업 여러 곳을 해킹한 증거를 발견했다고 주장했다. 구체적인 기관과 기업명은 밝히지 않았다.

또 이메일 주소와 '김수키'가 사용한 해킹 도구, 내부 매뉴얼, 비밀번호 등 다양한 데이터를 발견했다고 전했다.

이들은 '김'을 북한 해커로 특정할 수 있었던 것에 대해 "파일 설정과 과거 '김수키'의 것으로 알려진 도메인 등 단서와 흔적 때문"이라고 설명했다.

그러면서 "'김'이 근무 시간을 엄격하게 지켰으며, 평양 시각 기준 매일 오전 9시쯤 접속하고 오후 5시쯤 접속을 끊는 패턴을 보였다"고 덧붙였다.