IT보안. 김수키, 10년째 현역인 북한 해킹 그룹.

- 이름이 왜 김수키냐고? 사실 나도 잘 모른다 -

가끔은 진지한 이야기 말고, 그냥 술자리에서 "야 이거 알아?" 하고 꺼낼 만한 이야기도 필요하다.

오늘은 그런 류의 이야기다. IT보안 하는 사람들 사이에서는 꽤 유명한 이름인데, 의외로 일반인들한테는 생소한 그룹. 김수키(Kimsuky).

이름이 왜 김수키냐고? 사실 나도 잘 모른다. 처음 이 그룹을 분류한 카스퍼스키 연구원들이 내부 샘플 코드에서 'kimsuky'라는 문자열을 발견해서 그냥 그렇게 붙였다는 설이 유력하다. 북한 해커가 실수로 흘린 흔적인 건지, 아니면 그냥 닉네임인 건지는 지금도 불명확하다. 어쨌든 이름 덕에 기억하긴 쉽다.

---

이 사람들, 진짜 부지런하다

2013년에 처음 세상에 알려졌는데, 10년이 넘도록 꾸준히 활동 중이다. 요즘 기업들도 10년 넘게 살아남기 힘든 판에, 이 그룹은 진짜 성실하게 일하고 있다. 뭐랄까, 직장인 근속연수로 따지면 벌써 선임은 넘어서 책임/수석 정도는 됐겠다.

하는 일도 단순하지 않다. 타깃 정해놓고 몇 달이고 조용히 정보 빼가는 방식인데, 돈이 목적이 아니라 정보 수집이 목적이다. 그러니까 랜섬웨어처럼 "걸렸지? 돈 내"가 아니라, 걸린 줄도 모르게 슬쩍 들고 가는 스타일이다.

타깃도 나름 일관성이 있다. 대학교수, 기자, 탈북자 단체, 외교·안보 쪽 사람들. 한 마디로 북한 관련해서 뭔가 알고 있을 것 같은 사람들을 주로 노린다.

Google Gemini가 생성한 이미지 (북한군이 너무 해맑게 나온 건 패스)

---

공격 방식이 좀 웃기면서도 소름돋는다

기술적으로 엄청 고도화된 공격을 쓰냐? 꼭 그렇지도 않다. 주 무기는 그냥 이메일이다.

근데 이게 그냥 이메일이 아니라, 타깃을 미리 열심히 조사해서 보내는 맞춤형 이메일이다. 논문 찾아보고, SNS 뒤지고, 어느 학회 나가는지까지 파악해서 딱 그 사람이 관심 가질 만한 내용으로 보내는 거다.

"교수님, 이번 북핵 관련 세미나 자료입니다. 검토 부탁드립니다."

이런 식으로. 그리고 첨부파일에 악성코드가 들어있다. 특히 한글(HWP) 파일을 즐겨 쓴다는 게 포인트인데, 한국 타깃을 얼마나 꼼꼼하게 공략하는지 보여주는 부분이라 볼 때마다 씁쓸하기도 하고, 어이없기도 하다.

저걸 막겠다고 보안장비를 아무리 깔아봤자, 교수님이 "오 마침 관심 있던 주제네" 하고 파일 열어버리면 끝이다. 그래서 이 바닥에서 "보안의 가장 취약한 고리는 사람이다"라는 말이 아직도 유효하다.

---

이름이 바뀌고, 그룹이 쪼개지고

재미있는 건, 활동하면서 그룹이 계속 분화했다는 점이다. 같은 계열에서 파생된 그룹들이 생겨나서 지금은 김수키 외에도 여러 이름으로 불리는 연관 그룹들이 존재한다. 조직이 커졌다는 건지, 아니면 그냥 인력 분산인 건지는 모르겠지만.

현재는 국내를 넘어서 미국, 유럽까지 활동 반경을 넓혔다. 어떻게 보면 글로벌 진출에 성공한 셈이다.

이것도 어찌보면 한류(韓流) 인가?

---

뭐 결론이나 교육 같은게 아닌, 오늘은 그냥 잡담 글이라. 그냥 '아 이런 그룹이 있구나, 이름도 묘하게 한국 이름 같네' 정도로만 알고 가도 충분하다.

참고로 북한에는 우리 수키씨 말고 안다리엘, 블루노로프, 라자루스등 여러 해킹 그룹이 있다. 나름대로의 주종목(?)이 다르니 어찌 보면 해킹의 분업화 정도로 생각하면 될 듯 하다.