【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]중국발 추정 대규모 해킹공습…수개월간 정부·이통사 침투

온카뱅크관리자

2025-08-22 17:57:30

<div id="layerTranslateNotice" style="display:none;"></div> 고려대 정보보호대학원, 北 김수키 추정 유출데이터 분석 "공격도구·수법 과거 중국계와 유사…업무도 중국어 기반" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="tBfkCHDxXZ">
 <figure class="figure_frm origin_fig" contents-hash="d21936cd41e73dd36f677e66a4dcecc3e715e86e7141c4f62a376a697dc83b7b" dmcf-pid="Fb4EhXwMGX" dmcf-ptype="figure">
 <img alt="고려대 정보보호대학원은 글로벌 해킹 권위지 '프랙 매거진'에 공유된 중국계 추정 해커그룹의 한국 공격 현황을 분석하는 발표회를 22일 진행했다. 브리핑을 진행하는 김휘강 고려대 스마트보안학부 학부장./뉴스1 ⓒNews1 윤주영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/22/NEWS1/20250822174919036spdx.jpg" data-org-width="1400" dmcf-mid="1k3RamdzY5" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/22/NEWS1/20250822174919036spdx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 고려대 정보보호대학원은 글로벌 해킹 권위지 '프랙 매거진'에 공유된 중국계 추정 해커그룹의 한국 공격 현황을 분석하는 발표회를 22일 진행했다. 브리핑을 진행하는 김휘강 고려대 스마트보안학부 학부장./뉴스1 ⓒNews1 윤주영 기자
 </figcaption>
 </figure>
 (서울=뉴스1) 윤주영 기자 = 최근 우리나라 정부 부처·기업을 지속해서 해킹한 그룹 배후가 중국일 가능성이 크다는 분석이 나왔다.
 이들이 쓴 침투 경로·공격 도구가 과거 중국계 위협그룹과 유사하고, 업무도 중국어에 기반했던 것으로 파악됐다.
 22일 고려대 정보보호대학원은 최근 글로벌 해킹 권위지 '프랙 매거진' 40주년 기념호에 실린 'APT Down: The North Korea Files' 자료 분석을 발표했다.
 앞서 외국 화이트해커 2명은 북한 정찰총국 '김수키' 소속으로 추정되는 해커로부터 빼돌린 파일·데이터 세트를 매거진에 제보했다. 고려대 해킹대응기술연구실(HCRL), 디지털포렌식연구센터(DFRC)는 약 8GB에 달하는 이 자료를 분석했다.
 분석 결과 한국을 겨냥한 공격은 최소 지난해 하반기부터 올해 6월까지 이어졌다. 대부분의 피해 기관이 조치를 완료했지만, 일부 시스템은 4월 중순까지 내부망 침투를 허용했다.
 공공기관의 경우 행정안전부·외교부·통일부·해양수산부가 피해를 봤다. 유출 정황상 대부분 부처가 내부 침투를 허용한 것으로 파악된다.
 구체적으로 △행정안전부 행정전자서명(GPKI) 인증서 △외교부 내부 메일 서버 소스코드 △통일부·해양수산부 '온나라' 소스코드 및 내부망 인증 기록 등이 유출됐다.
 기업의 경우 LG유플러스(032640)·KT(030200) 피해가 의심된다. LG유플러스는 통합 패스워드 관리 설루션(APPM) 파일, 데이터베이스 조회 기록 등이 발견됐다. KT는 2023년 10월까지 유효했던 서버용 인증서가 발견됐다.
 김휘강 고려대 스마트보안학부 학부장은 "LG유플러스 정황상 내부망까지 침투됐다고 보는 게 타당하다"며 "KT의 경우 서버 인증서밖에 없어서 판단이 어렵다. 시스템 레벨 해킹일 수도, 단순 회사 개발자 PC에서 확보한 걸 수도 있다"고 설명했다.
 이 밖에도 공격자는 네이버·연세대 메일, 카카오 사용자를 대상으로 피싱 사이트를 전송했다. 계정 정보 입력을 유도, 기업 침투 수단을 확보하는 '크리덴셜 스터핑' 기법이다.
 화이트해커가 공격자를 'KIM'이라 밝혀 북한이 배후로 의심되기도 했다, 하지만 수법을 보면 중국계일 가능성이 더 크다는 분석이다.
 우선 중국계 그룹 APT41, UNC3886이 과거 사용한 공격도구 'reptile rootkit'과 유사한 소스코드가 확인된다.
 또 이들은 국내외 널리 쓰이는 이반티의 가상사설망 'SSL VPN' 취약점 CVE-2025-0282를 악용해 공격 툴로 활용했다. 이 역시 중국계가 주로 쓰는 전술이다.
 김 학부장은 "이들이 한국어에 서툰 점도 주목할 만하다. 소스코드에 달린 주석도 중국어였고, 확보된 한글문서를 구글 번역기로 돌린 흔적이 있다"고 부연했다.
 다만 북한 소행일 가능성도 배제할 수는 없다. 북한 정부가 현지 인력을 고용한 시나리오도 가능한 상황이다.
 김 학부장은 이번 데이터가 앞으로의 피해를 막을 귀중한 자료라고 강조했다. 내부 업무에만 쓰인다는 이유로 VPN 등 장비의 최신 패치를 게을리하는 관행도 고쳐야 한다고 지적했다.
 또 피해 기관을 무조건 추궁·엄벌하는 제도는 지양해야 한다고 덧붙였다. 예방에 필수적인 피해정보 공유를 꺼리게 만든다.
 이 밖에도 단말 이상행위 탐지(EDR), 관리형 탐지(MDR) 등 설루션으로 서버 간 통신에서의 이상 행위를 꾸준히 감시하는 게 중요하다고 김 학부장은 제언했다.
 legomaster@news1.kr &lt;용어설명&gt; ■ 가상사설망 Virtual Private Network. 가상사설망. 공용 네트워크에서 분리된 내부망에 접속할 수 있도록 도와주는 보안 서비스. 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기