【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]韓 정부·기업 가지고 논 해커 '김수키' 정체 알고보니···"북한이 아니었다"

온카뱅크관리자

2025-08-24 06:37:30

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">중국발 추정 대규모 해킹공습···수개월간 정부·이통사 침투</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="KvrxecP3CA">
          <figure class="figure_frm origin_fig" contents-hash="05ec3768ce20331566c7ce34a953058734080073a95d7d61fe89245a27131638" dmcf-pid="9XlngsJqTj" dmcf-ptype="figure">
           <p class="link_figure"><img alt="이미지투데이" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/24/seouleconomy/20250824063214729skmk.jpg" data-org-width="640" dmcf-mid="B8JKdkQ0Ck" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/24/seouleconomy/20250824063214729skmk.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            이미지투데이
           </figcaption>
          </figure>
          <div contents-hash="72a3dfa14ddb37f364f8e5b41272565c0e600ad145dd6212d4455e83e46a25a2" dmcf-pid="2ZSLaOiBWN" dmcf-ptype="general">
            [서울경제] 
           <p>최근 행정안전부·외교부·KT·LG유플러스 등 우리나라 정부 부처 및 기업을 대상으로 해킹을 감행한 그룹의 배후가 북한 정찰총국 산하 '김수키'가 아니라 중국 조직일 가능성이 높다는 국내 연구진 분석이 나왔다. 이들이 쓴 침투 경로·공격 도구가 과거 중국계 위협그룹과 유사하고, 업무도 중국어에 기반했던 것으로 파악됐다.</p>
          </div>
          <p contents-hash="67574b7bb8566fdce7f423ce048a025cbe7fa7e5d421080e82af8f5787e24964" dmcf-pid="V5voNInbSa" dmcf-ptype="general">22일 고려대 정보보호대학원은 최근 글로벌 해킹 권위지 '프랙 매거진' 40주년 기념호에 실린 'APT Down: The North Korea Files' 자료 분석을 발표했다. 이는 앞서 '세이버'(Saber)와 '사이보그'(cyb0rg)라는 2명의 화이트해커가 북한 정찰총국 '김수키' 소속으로 추정되는 해커로부터 빼돌린 파일·데이터 세트를 매거진에 제보한 내용을 토대로 작성된 것이다.</p>
          <p contents-hash="44272be199df9ae96b61c4a8a74c56ece477a0842fc2b4b6193b933093b3471b" dmcf-pid="f1TgjCLKSg" dmcf-ptype="general">이 자료에는 행정안전부와 외교부, 통일부, 해양수산부 등 정부 기관을 비롯해 통신사와 언론사 등 민간 기업에 대한 해킹 공격 흔적이 담겼다. 해킹 기간은 지난해부터 올해 6월까지로, 장기간에 걸쳐 공격이 이뤄진 것으로 파악됐다. 대부분의 피해 기관이 조치를 완료했지만, 일부 시스템은 4월 중순까지 내부망 침투를 허용했다.</p>
          <p contents-hash="12163bbf1d21b8385a698cfd8cf45d4a7231680454d593873c3445ea1e7bd552" dmcf-pid="4tyaAho9Co" dmcf-ptype="general">구체적으로 △행정안전부 행정전자서명(GPKI) 인증서 △외교부 내부 메일 서버 소스코드 △통일부·해양수산부 '온나라' 소스코드 및 내부망 인증 기록 등이 유출됐다. 기업의 경우 LG유플러스·KT 피해가 의심된다. LG유플러스는 통합 패스워드 관리 설루션(APPM) 파일, 데이터베이스 조회 기록 등이 발견됐다. KT는 2023년 10월까지 유효했던 서버용 인증서가 발견됐다.</p>
          <p contents-hash="1861dcf8705199417c982d4df00b1385c4ba35635cbbca946b66c6c72705e442" dmcf-pid="8FWNclg2SL" dmcf-ptype="general">이 밖에도 공격자는 네이버·연세대 메일, 카카오 사용자를 대상으로 피싱 사이트를 전송했다. 계정 정보 입력을 유도, 기업 침투 수단을 확보하는 '크리덴셜 스터핑' 기법을 이용한 것으로 드러났다.</p>
          <figure class="figure_frm origin_fig" contents-hash="9c9cd3a27df269ecdf30df83fefd2cc7e16a3914fc47ca19a5bb185193abb2fc" dmcf-pid="63YjkSaVyn" dmcf-ptype="figure">
           <p class="link_figure"><img alt="연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/24/seouleconomy/20250824063215956xyrn.jpg" data-org-width="500" dmcf-mid="bleUzP0CCc" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/24/seouleconomy/20250824063215956xyrn.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            연합뉴스
           </figcaption>
          </figure>
          <div contents-hash="4a21a5e1be834947499c5817bba8b557a20a912d9ffa475a3984760945a92601" dmcf-pid="PhE6xN41li" dmcf-ptype="general">
           <p>화이트해커가 공격자를 'KIM'이라 밝혀 북한이 배후로 의심되기도 했지만 연구진은 수법을 보면 중국계일 가능성이 더 크다는 분석을 내놨다. 연구진은 "공개된 자료만으로는 북한에 의한 공격이라 단정 지을 수 없다는 결론"이라며 "해커 작업 패턴을 종합하면 중국어에 친숙하고 한국어는 익숙하지 않은 중국인일 가능성이 매우 높다"고 설명했다. 소스 코드에 중국어로 작성된 주석이 포함된 점, 중국 해커그룹들이 그간 즐겨 쓰던 해킹 수법과 동일한 공격 도구를 사용한 점 등이 근거로 제시됐다.</p>
          </div>
          <p contents-hash="ccd0e80721bb5912d932bc344e759b3f3768e8e1a0479c8c08c9d892974ee3b9" dmcf-pid="QlDPMj8tSJ" dmcf-ptype="general">또 한국어 문장을 구글 번역 사이트를 통해 중국어 또는 영어로 번역한 점, 중국 청명절이나 노동절, 단오 등에는 해킹하지 않은 점, 여가 시간에 중국 동영상 사이트 에이시펀(AcFun)에 반복적으로 접근한 점 등에도 주목했다.</p>
          <p contents-hash="86a4b0da399f46c0552aab3ae205a32dc8c970f5e5acf71881e3c4255e493b28" dmcf-pid="xSwQRA6FSd" dmcf-ptype="general">다만 북한 소행일 가능성도 배제할 수는 없다. 김휘영 해킹대응기술연구실 교수는 이와 관련해 "김수키 그룹 안에서 중국인을 용병처럼 아웃소싱(외부 용역)해서 썼다는 다양한 가설이 있을 수도 있다"면서도 "다만 팩트가 아직 찾아지지 않은 그런 가설들은 배제하고 순수하게 발견된 수법, 기술들을 분석했을 때 중국 쪽이 조금 더 맞는 것으로 보인다"고 판단했다.</p>
          <p contents-hash="c22f188b8c5b9c0aa911ec723ac49e041b87aa6301211b308f36188f12411d1a" dmcf-pid="y6BTYUSgle" dmcf-ptype="general">이 해커 조직은 리눅스 환경에서 개발 능력이 능수능란하고, 최근 유행하는 공격 기법들을 잘 이해해 개인화하는 능력이 있어 최소 중급에서 고급 수준의 개발 능력을 갖춘 것으로 연구진은 추정했다.</p>
          <div contents-hash="a5f699af0dd791a096a74e915ef4756e635045000d43dab10707d4a85c220d9f" dmcf-pid="WPbyGuvaTR" dmcf-ptype="general">
           <p>한편 김 학부장은 이번 데이터가 앞으로의 피해를 막을 귀중한 자료라고 강조했다. 내부 업무에만 쓰인다는 이유로 VPN 등 장비의 최신 패치를 게을리하는 관행도 고쳐야 한다고 지적했다. 그러면서 예방에 필수적인 피해정보 공유를 꺼리게 만드는 피해 기관을 무조건 추궁·엄벌하는 제도는 지양해야 한다고 강조했다.</p> 강신우 기자 seen@sedaily.com
          </div>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 서울경제. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기