 |
| 인터넷 캡쳐 |
미국 연방수사국(FBI)은 최근 북한 정찰총국과 연계된 해킹 조직 김수키(Kimsuky)가 기존 이메일 피싱을 넘어, QR 코드를 악용한 새로운 사회공학적 해킹 기법, 이른바 ‘퀴싱(QR+Phishing)’을 적극 활용하고 있다고 공식 경고했는데요.
우선 북한동포들을 위해 간단히 용어에 대해 설명을 드리면 피싱(Phishing)은 '개인정보(Private data)'와 '낚시(Fishing)'의 합성어입니다. 개인정보를 낚아챈다고 생각히면 되는데요. 여기에 한번 더 나아가서 상품에 붙어있는 바코드가 있죠. 요즘은 QR 코드라고 해서 네모난 모양의 마크가 있는데요. 여기에 상품이나 개인정보가 숨겨져 있습니다.
전문가들에 의하면 이번 경고의 핵심은 기술적 보안 체계를 우회하는 인간 심리와 사용 행태의 취약성에 있다고 합니다. 기업·기관의 이메일 보안 시스템은 고도화되고 있지만, QR 코드는 손전화 기기 사용을 유도함으로써 조직의 보안 경계를 벗어나게 만들고 있죠. 즉, 기업이나 단체들이 사용하는 컴퓨터 중심의 방어 체계를 무력화하는 ‘보안의 사각지대’를 정교하게 파고든 것입니다.
특히 김수키는 저희와 같은 민간 단체들인 연구소, 학계, 외교·안보 전문가 등 정책 정보에 접근 가능한 인적 네트워크를 주요 표적으로 삼아, 설문조사·행사초청·연구 협업 요청 등으로 위장한 QR 코드를 배포해 왔는데요. 이는 단순 금전 범죄가 아니라 정보 수집과 장기 침투를 목적으로 한 국가 차원의 사이버 공작이라는 점에서 중대한 안보 위협으로 평가되고 있습니다.
북한은 오늘 이 시간 북한의 고도화된 사이버 범죄에 대해 살펴보도록 하겠습니다.
1. FBI가 경고한 ‘퀴싱’ 기법은 기존 해킹 방식과 무엇이 근본적으로 다른가요?
- 기존 피싱은 이메일 본문이나 첨부파일 속 링크를 클릭하도록 유도하는 방식이었습니다. 반면 퀴싱은 QR 코드를 ‘중간 매개체’로 사용합니다. 이 차이가 결정적입니다. QR 코드는 사용자가 손전화 기기로 직접 등록해야 하므로, 기업·기관의 이메일 보안 장치를 자연스럽게 우회합니다.
다시 말해, 기술을 속이는 것이 아니라 사용자의 행동을 이동시키는 방식입니다. 이 점이 훨씬 위험하다고 하겠습니다.
2. 김수키가 이런 수법을 채택했다는 점에서 어떤 전략적 의미를 읽을 수 있을까요?
- 이는 북한의 사이버 작전이 양적 공격에서 질적 침투로 전환되고 있음을 보여줍니다. 김수키는 무차별 공격보다, 가치 있는 정보를 가진 소수 인물을 장기간 추적·공략합니다.
퀴싱은 단기간에 대규모 피해를 내기보다는, 한 명의 전문가 계정을 장악해 그 네트워크 전체를 들여다보는 데 최적화된 수법입니다. 이는 정보기관형 해킹 조직의 전형적인 행태라고 하겠습니다. 저희와 한민족방송 관계자 모든 분들이 그 대상이 될 수 있는 것입니다.
 |
| 인터넷 캡쳐 |
3. 왜 대표님 같은 민간 단체·연구소·학계 인사들이 주요 표적이 되는 건가요?
- 이들은 정부 고위 관계자보다 보안 수준은 낮지만, 정책 초안·비공식 분석·국제 네트워크 정보에 접근합니다.
특히 외교·안보·북한 문제를 다루는 전문가들은 회의 초청, 설문 요청, 연구 협업 제안 등을 일상적으로 받습니다. 김수키는 이 ‘업무 관행’을 정확히 이해하고 있으며, 그래서 QR 코드 기반의 초청장·설문 링크가 매우 자연스럽게 작동합니다.
이들을 통하면 보안이 잘 되어있는 정부 기관이나 기타 주요 기관으로의 침투도 용이해지는 것이죠. 인적 연결망이 넓기 때문에 훨씬 많은 정보들에 접근이 가능합니다. 이 때문에 아주 가성비가 높은 표적이 되는 것입니다.
4. 기존 보안 체계는 왜 이런 공격을 막기 어려운 것인가요?
- 대부분의 보안 체계는 조직의 네트워크와 단말기를 중심으로 설계돼 있습니다. 그러나 퀴싱은 사용자를 개인 손전화라는 사적 공간으로 이동시킵니다.
개인 기기는 중앙 통제가 어렵고, 악성 코드 분석이나 행위 추적도 제한적입니다. 즉, 퀴싱은 기술이 아니라 보안 책임의 경계선을 공격하는 것이죠. 개인들은 조직보다는 보안 의식이 취약할 수밖에 없는 약점들을 이용하는 것입니다.
 |
| 인터넷 캡쳐 |
5. FBI가 권고한 대응책 중 가장 핵심적인 것은 무엇이라고 보십니까?
- 기술적 조치보다 중요한 것은 인식 전환입니다. “정체를 알 수 없는 QR 코드를 스캔하는 행위 자체가 위험하다”는 인식을 조직 차원에서 명확히 심어야 한다는 것이죠. 여기에 더해 사람과 사람을 연결하는 부서나 단체들일수록 보안 교육의 우선순위가 높아져야 합니다.
6. 이번 사례가 시사하는 향후 사이버 안보 환경의 변화는 무엇이라고 보시는지요?
- 앞으로의 사이버 위협은 “해킹 당했다”는 순간보다, “이미 오랫동안 들여다보고 있었다”는 사실을 뒤늦게 알게 되는 형태가 될 가능성이 큽니다. 매 순간 순간 조심하는 수밖에 없습니다.
결국 사이버 안보의 핵심은 방화벽이 아니라 사람의 판단력과 조직 문화로 이동하고 있습니다. 이번 FBI 경고는 그 변화가 이미 현실이 되었음을 알리는 신호라고 봐야 합니다.
북한이나 중국 등은 국가적으로 이런 범죄행각을 일상화하고 있고 그것을 통해 주민들을 감시, 통제하고 나아가 주변국들까지 오염시키고 있는 것이죠. 비상한 대책들이 있어야 할 것입니다.
* 한반도 르포에서는 피랍탈북인권연대 도희윤 대표의 KBS한민족방송 인터뷰를 연재합니다. 한반도를 둘러싼 위기상황과 북한내부의 인권문제를 다룰 예정입니다.
