북한 해커소행 증거, '김수키' 악성코드 뭘까

합수단 "한수원 이메일 공격, 북한 해커 악성코드와 구성방식 유사"

[아시아경제 류정민 기자] 정부가 한국수력원자력 원전 자료 유출을 북한 해커 소행이라고 판단한 결정적인 증거 중 하나는 이른바 ‘김수키(kimsuky)’ 계열 악성코드다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 지난해 12월 한수원 이메일 공격에 사용된 악성코드들은 북한 해커들이 사용하는 것으로 알려진 김수키 계열 악성코드와 구성 및 구성방식이 유사하다고 17일 설명했다.

김수키 계열 악성코드는 북한에서 만들어졌다고 추정되는 악성코드로서 2013년 이후 다수의 유사 악성코드가 발견됐다.

개인정보범죄 정부합동수사단은 17일 한수원 자료를 공개하며 원전중단을 협박한 사건에 대해 수사한 결과를 발표했다. 사진제공=정부합수단

지난해 12월 한수원 이메일 공격에 사용된 악성코드는 ‘쉘(shell) 코드’(악성코드를 초기에 작동시키는 일종의 명령어 코드 조각)가 PC 내의 윈도우 메모장 프로그램에 삽입돼 있어 김수키 악성코드와 동작방식이 유사하다.

합수단은 쉘 코드의 함수 및 명령어 구조도 일치하며 원격접속을 위한 악성코드도 99.9% 김수키 악성코드와 유사하다고 판단했다.

지난해 7월 한수원 협력업체 A사 조모 대표의 이메일 공격에 사용된 악성코드의 ‘한글 프로그램’ 버그는 김수키 계열 악성코드에 사용된 ‘한글 프로그램’ 버그와 동일한 것으로 조사됐다.

합수단은 “이는 일명 ‘제로데이 버그’라는 최신 버그를 이용한 것으로 김수키 계열 악성코드에서는 지난해 5월부터 사용돼 왔으나 지난해 11월 ‘한글과 컴퓨터’ 업체에서 보완조치 했다”고 설명했다.

합수단은 “이러한 버그가 활동한 6개월이라는 단기간 내에 김수키 계열 악성코드를 사용하는 조직 이외에 다른 조직에서 이 버그를 사용해 공격할 가능성은 매우 낮다”고 주장했다.

류정민 기자 jmryu@asiae.co.kr