【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]韓 정부·기업 해킹하는 北 김수키… “중국과 협력하고 기술 공유”

온카뱅크관리자

2025-08-15 06:07:30

<div id="layerTranslateNotice" style="display:none;"></div> 북한 배후 추정 해커, 韓 국방부·통신사 해킹 정황 포착 “중국 해커들과 공개적으로 협력” “유출된 데이터에 국가 기밀급 자료 포함” 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="0QgkZ8HEar">
 <figure class="figure_frm origin_fig" contents-hash="31cffd59a719f86b0484c3a06b4615d586b05cdce30c0e19ccdcc7a1e73474fc" dmcf-pid="pxaE56XDkw" dmcf-ptype="figure">
 <img alt="‘북한의 지능형 지속 공격(APT Down: The North Korea Files)’ 보고서 일부" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/15/chosunbiz/20250815060233495blrt.jpg" data-org-width="962" dmcf-mid="FleoTbSgcs" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/15/chosunbiz/20250815060233495blrt.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ‘북한의 지능형 지속 공격(APT Down: The North Korea Files)’ 보고서 일부
 </figcaption>
 </figure>
 최근 미국 보안 잡지 프랙(Phrack)에 실린 한 보고서가 보안업계에 파장을 일으켰다. 화이트해커 2명이 작성한 ‘북한의 지능형 지속 공격(APT Down: The North Korea Files)’이라는 보고서는 북한 정찰총국 산하 해커조직 ‘김수키(Kimsuky)’가 한국 정부와 다수 기업을 지속적으로 해킹해온 정황을 포착했다는 내용을 담고 있다. 김수키가 중국 해커와 협력한 흔적도 발견됐다고 보고서는 주장했다. 국방부, 외교부 등 주요 정부 부처와 통신사가 해킹 위험에 무방비로 노출됐다는 사실이 국내외에 알려진 것이다.
 북한 배후로 추정되는 해커의 공격을 포함해 올 상반기에만 국내 사이버 공격 피해 사고가 1000건이 넘었지만 이재명 정부가 지난 13일 발표한 123개 국정과제에서 사이버보안 정책은 빠졌다. 보안 전문가들은 “공공과 민간이 해커들의 놀이터로 전락했는데 국가 안보의 핵심인 사이버보안 관련 정책은 여전히 홀대 받고 있다”고 비판했다.
 <figure class="figure_frm origin_fig" contents-hash="57766a84be853b53ec84c666583c75f02aeb645bc739e6ef7035ed123db814d6" dmcf-pid="7eArFx1mgk" dmcf-ptype="figure">
 <img alt="일러스트=챗GPT 달리3" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/15/chosunbiz/20250815060234758enlp.jpg" data-org-width="1536" dmcf-mid="3uuKaWo9om" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/15/chosunbiz/20250815060234758enlp.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 일러스트=챗GPT 달리3
 </figcaption>
 </figure>
 ◇ “김수키, 중국 해커들과 공개적으로 협력”
 15일 업계에 따르면 비영리단체 디도시크릿(DDoSecrets)에 올라온 보고서는 세이버(Saber)와 사이보그(cyb0rg)라는 화이트해커 2명이 공동 작성했다. 두 해커는 김수키 소속 북한 해커로 추정되는 ‘KIM’의 작업용 컴퓨터(워크스테이션)를 해킹해 발견한 정보를 보고서에 기재했다. 공격자가 어떤 수법으로 정부와 기업을 공격했는지도 알렸다.
 보고서에 따르면 공격자의 컴퓨터에는 행정안전부와 외교부, 국군방첩사령부(DCC), 대검찰청, 국내 통신사의 내부 시스템 접속 계정·키가 방대한 양으로 저장된 데이터 덤프(dump·시스템 상태나 데이터 내용을 그대로 떠 저장한 파일)가 발견됐다. 데이터 덤프는 해커가 사용한 가상머신(VM)과 ‘스피어 피싱(spear phishing·특정 표적을 정해놓고 하는 공격)’ 용도로 활용한 가상사설서버(VPS)에서 지난 6월 10일쯤 유출됐다.
 두 해커는 공격자가 사용한 이메일 주소와 해킹 도구, 비밀번호, 한국 정부 부처에서 탈취한 것으로 보이는 민감 정보 등을 찾았다고 주장했다. 방첩사를 대상으로 한 피싱 공격은 6월 초까지 이뤄진 것으로 나타났다. 대검찰청 대상 피싱 시도, 네이버·다음 등 포털사이트 도메인 주소에 접근한 기록과 외교부 이메일 플랫폼의 사본 파일도 발견됐다. 행안부의 경우 내부 업무관리 시스템인 ‘온나라 시스템’이 공격을 받았다.
 민간 기업 중에는 국민 대다수가 사용하는 통신사를 집중 겨냥한 것으로 보인다. 한 통신사의 경우 통신사에 보안 솔루션을 제공하는 회사를 해킹한 뒤 내부 침투를 시도했고, 또 다른 통신사는 회사의 원격 제어 서비스에 대한 인증서와 개인키를 탈취했다.
 보고서는 “김수키는 한국 정부, 군, 언론, 외교 기관, 원자력발전소 운영사 등을 상대로 지속적이고 장기적인 사이버 첩보 활동을 벌이고 있는 북한의 지능형 지속 위협(APT) 조직”이라며 “정치적 목적과 금전적 탐욕에 의해 움직이는 도덕적으로 타락한 집단”이라고 지적했다.
 또 “김수키가 중국 해커들과 공개적으로 협력하며 그들의 도구와 기술을 공유하는지 엿볼 수 있다”고 했다. 보고서 작성자들은 이번 공격의 배후 세력이 중국일 가능성도 배제할 수 없지만, 해커가 한국어를 중국어 간체로 번역하는 구글 번역기를 사용했고, 크롬 설정이 ‘한국 표준시’로 되어 있다는 점을 들어 김수키 소행일 것이라고 판단했다. 또 이들이 평양시간 기준 오전 9시~오후 5시 정규 근무 시간에만 접속하는 등 일정한 근무 패턴을 보였다고 덧붙였다.
 외신은 이 보고서로 폐쇄적인 북한 해킹 작전의 실체가 일부 드러났다고 평가했다. IT매체 테크크런치는 “김수키의 내부 활동을 들여다본 거의 전례가 없는 사례”라고 했다.
 ◇ 북한 추정 공격 급증에도 정부 안보 책임자 공석
 보고서가 공격의 배후로 추정하는 김수키는 라자루스, APT37, 안다리엘과 함께 북한 대표 해킹 조직으로 꼽힌다. 지난 2012년부터 활동을 시작한 것으로 알려진 이 해커조직은 러시아 보안업체가 해커의 이메일 계정이 ‘김숙향’(kimsukyang)이라는 사실을 알아낸 뒤 이를 러시아식인 김수키로 표기한 보고서를 2013년 발표하면서 처음으로 실태가 드러났다. 김수키는 주로 통일부·외교부를 포함한 한국 정부 부처, 기업, 원자력발전소, 통일 분야 전문가 등을 표적으로 삼아왔다. 최근 몇 년 사이 공격 대상을 유엔(UN)과 미국, 일본, 러시아, 유럽 등으로 확대했다.
 보안 회사 레코디드퓨처에 따르면 김수키는 2009년부터 2023년까지 약 15년간 북한 해커 그룹이 전개한 사이버 공격 중 약 37%를 담당했다. 공격 목적은 주로 정보 탈취와 외화벌이다. 최근에는 글로벌 코인거래소를 해킹해 탈취한 암호화폐를 현금으로 세탁한 뒤 북한 핵무기 개발에 필요한 자금을 마련하고 있다.
 업계에 따르면 김수키는 초기 침투에 스피어 피싱과 워터링 홀(watering hole·자주 방문하는 사이트를 해킹해 악성코드를 미리 숨겨두는 방식) 등의 수법을 주로 활용하고 잠재적 표적을 공략하기 위해 소셜미디어(SNS) 계정을 개설하고 특정 인물로 사칭한 뒤 접근하는 공격도 사용하는 것으로 알려졌다. 이들의 공격 수법은 날로 고도화되는 추세다. 미국 사이버보안·인프라보호청(CISA)은 “김수키는 2023년부터 거대언어모델(LLM) 등 인공지능(AI)을 취약점 연구와 사회공학, 정찰 활동 등에 활용하기 시작했다”고 했다.
 국내 한 보안 기업의 사이버위협분석팀장은 보고서에 대해 “이번 공격은 국가 핵심 기관과 인프라를 정밀 타격한 고도화된 위협”이라며 “유출된 데이터에는 내부 운영 문서, 자격증명, 백도어 등 국가 기밀급 자료가 포함되어 있었다”고 말했다.
 보안업계는 북한과 중국 추정 해커가 정부와 민간을 대상으로 공격 수위를 높이고 있는 가운데 국가 안보를 책임지는 자리가 여전히 공백이라는 점을 비판했다. 국가 사이버안보를 총괄하는 대통령실 사이버안보비서관이 새 정부 출범 두 달이 넘도록 공석이다.
 - Copyright ⓒ 조선비즈 &amp; Chosun.com -
 </section> 
 </div> 
 Copyright © 조선비즈. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기