골프장 해킹, 그 배후에 북한이 있다

골프장 회원이 된다는 것은 단순히 그린 위를 걷는 것이 아니다. 이름, 생년월일, 주소, 전화번호, 이메일—삶의 좌표를 통째로 맡기는 일이다. 그리고 그 좌표들이, 지금 어딘가로 흘러갔다.

2026년 4월 26일, 경찰청은 서울 북동쪽 약 55킬로미터 거리에 위치한 경기 가평군 이앤이 컨트리클럽 홈페이지가 해킹됐다고 밝혔다. 유출된 정보는 약 10만 명 분량. 이름, 생년월일, 성별, 아이디, 비밀번호, 전화번호, 이메일, 집 주소까지—신원을 특정하는 데 필요한 거의 모든 항목이 포함됐다.

더 무거운 사실은 이 해킹의 배후다. 경찰은 북한 주요 해킹 조직을 수사하는 과정에서 이 사건을 포착했다. 골프장 서버에 심어진 악성코드가 특정 해킹 그룹의 것으로 추정된다는 게 수사 당국의 판단이다.

왜 하필 골프장인가

표면적으로 이 사건은 단순한 개인정보 침해처럼 보인다. 하지만 수사 경위를 들여다보면 결이 다르다.

경찰이 이 유출을 발견한 건 피해자 신고가 아니었다. 북한 해킹 조직 전반을 추적하는 수사 과정에서 우연히 드러난 것이다. 이는 이번 사건이 단독 범행이 아니라 더 큰 사이버 작전의 일부일 가능성을 시사한다.

광고

광고주 모집

[email protected]

광고

국방부 백서에 따르면 2024년 기준 북한 당국 산하에서 활동하는 해커 수는 약 8,400명으로 추산된다. 이들은 암호화폐 탈취, 방산 기밀 해킹, 금융 시스템 침투 등 다양한 임무를 수행하는 것으로 알려져 있다. 미국 당국은 북한이 지난해 암호화폐만으로 20억 달러 이상을 탈취했을 것으로 추정한다.

그렇다면 골프장은 왜? 가능한 해석은 여러 가지다. 첫째, 골프 회원권을 가진 이들은 상당한 자산가인 경우가 많다—금융 사기나 스피어피싱의 표적으로 가치가 높다. 둘째, 중소 규모 민간 시설은 대기업이나 공공기관에 비해 사이버 보안 투자가 현저히 낮다. 셉 이앤이 컨트리클럽처럼 보안 인프라가 취약한 곳은 더 넓은 네트워크로 침투하기 위한 '발판'이 될 수 있다.

내 정보가 어디까지 퍼졌는지 알 수 없다

피해자 입장에서 이 사건은 단순히 불편함의 문제가 아니다. 유출된 데이터 조합—이름, 주소, 생년월일, 비밀번호—은 금융 사기, 신원 도용, 보이스피싱의 완성형 재료다. 특히 같은 비밀번호를 여러 서비스에 사용하는 경우, 피해는 골프장 계정 하나에 그치지 않는다.

더 큰 문제는 피해자들이 자신의 정보가 어디에 활용되고 있는지 알 방법이 없다는 점이다. 데이터는 다크웹에서 거래되거나, 다른 해킹 작전에 재활용되거나, 수년 뒤 전혀 다른 맥락에서 사용될 수 있다. 유출의 피해는 즉각적이지 않고, 느리고, 보이지 않게 번진다.

보안 전문가들은 이미 오래전부터 경고해왔다. 민간 기업, 특히 중소 규모 서비스업체의 개인정보 보호 수준이 위협의 정교함을 따라가지 못하고 있다고. 이번 사건은 그 경고가 현실이 됐음을 다시 한번 보여준다.

한편 일부에서는 수사 당국의 발표 방식에 의문을 제기하기도 한다. 북한 소행이라는 판단은 아직 수사 중인 단계에서 나온 것이며, 귀속(attribution) 문제는 사이버 보안에서 가장 어려운 과제 중 하나다. 악성코드의 유사성이 곧 동일 조직의 소행을 의미하지는 않는다는 신중론도 존재한다.