“북한 ‘김수키’ 아닌 중국 해커” 정부·대기업 노린 국가 지원 해커, 고려대 분석
국가지원해킹그룹 문건 심층 분석 결과, 중국 해커 전술·작업 습관과 일치
지난해부터 올해 6월까지 한국 정부와 주요기업을 공격한 해커 조직은 북한 정찰총국 산하 ‘김수키’가 아니라 중국 해킹조직일 가능성이 높다는 국내 연구진 분석이 나왔다.
고려대학교 정보보호대학원은 22일 고려대학교 서울캠퍼스에서 ‘국가지원해킹그룹 해킹자료 분석‘을 주제로 미디어 브리핑을 열고, 해킹 잡지 프랙(Phrack)과 디도시크릿(DDoSecrets)이 공개한 ‘APT Down: The North Korea Files’ 자료를 재분석한 ‘APT‑Down Revisited’ 보고서를 발표했다.
분석을 진행한 고려대학교 정보보호대학원 연구진은 “해커의 전술·기술·절차(TTP)와 코드·작업 로그를 교차 검증한 결과, 공개 데이터만으로 북한 소행이라고 단정짓기는 어렵다”며 “다수의 지표가 중국계 위협그룹의 전술·도구와 일치한다”고 평가했다.
중국계 해커 정황, 전술과 작업 습관 심층 분석
고려대학교 연구진이 해킹 공격의 배후를 중국계로 지목한 핵심 근거는 ‘이반티(Ivanti) SSL VPN’ 제로데이(CVE‑2025‑0282) 악용 코드다. 연구진에 따르면, 해당 제로데이 공격 방식은 중국계로 분류되 APT41·UNC5221(UNC5337) 그룹의 전술과 일치한다. 정상 가상사설망(VPN) 흐름에 숨어드는 ‘SSL_read 후킹’, 디스크에 흔적을 남기지 않는 ‘파일리스(fileless) 백도어’, 특정 바이트열을 신호로 삼는 ‘매직 바이트(magic byte) 트리거’, iptables 기반 흔적 삭제까지, 세부 구현이 기존 중국계 침투 전술과 유사하다는 것이다.
또한, 연구진은 소스코드의 주석과 설정 문서, 명령 기록에도 간체 중국어가 다수 발견됐다고 설명했다. 해커가 한글로 작성된 문서를 광학 문자 인식(OCR)·구글 번역기를 거쳐 중국어로 읽은 흔적도 확인됐다. 또한, 해커의 작업 시간은 중국 표준시 기준 근무시간인 평일 08~17시에 집중됐고, 노동절·단오절 등 중국의 법정 공휴일에는 활동이 멈췄다. 아울러, 최근 공격 대상 목록에는 대만 서버군도 묶여 있었다. 이러한 정황을 들어, 연구진은 중국계 해커의 공격일 가능성이 높다고 분석했다.
다만, 연구진은 중국에서 근무하는 북한 해커가 북한 당국의 지령을 받고 벌인 소행일 가능성도 있다고도 했다. 김휘강 고려대학교 정보보호대학원 교수는 “이번 사건은 단발성 해킹이 아니라 상시 업무처럼 국가 차원에서 이뤄진 침투 작전으로 보인다”며 “수개월간 누적된 워크스테이션 이미지를 통해 조직적·장기 작전의 패턴이 확인됐다”고 강조했다.
정부 핵심 정보와 민간 공급망 장기간 침투
또한, 고려대 연구진은 문건에서 해커가 정부의 핵심 정보와 민간 기업의 공급망을 동시에 노린 정황을 포착했다고 설명했다. 특히, 공격 로그와 워크스테이션 이미지를 종합하면, 2024년 말부터 2025년 상반기까지 최소 수개월 이상 이어진 장기 침투 흔적이 드러났으며, 이는 단발성 해킹이 아니라 상시 업무처럼 꾸준히 수행된 조직적 작전임을 보여준다고 덧붙였다.
한국 정부를 겨냥한 공격 흔적도 구체적으로 확인됐다. 연구진은 행정안전부의 GPKI(공무원 행정전자서명) 체계를 노린 크래킹 코드, 외교부 메일 시스템의 소스코드(개발망에서 유출된 것으로 추정), 통일부·해양수산부의 전산시스템 ‘온나라’ 접근 기록을 발견했다. 특히 온나라의 경우, 해커가 단일 로그인(SSO) 토큰의 특정 값을 해독해 실제 계정과 연결한 뒤, 메인 페이지 응답 정보까지 확보한 정황이 드러났다. 이는 단순한 로그인 시도가 아니라 실제 세션이 성립돼 내부 시스템에 접속했음을 입증하는 결과라고 연구진은 설명했다.
민간에서는 주로 통신사·언론사·보안 기업이 주요 대상이 됐다. 특히, LG유플러스 내부 ‘패스워드 통합관리(APPM)’ 웹 서버 소스코드와 데이터베이스 접근 흔적이 확인됐고(최신 기록 기준 약 8900대 서버, 4만2000여 계정, 160여 사용자 정보 포함), KT의 경우 도메인용 인증서와 개인키가 유출된 정황도 포착됐다. 언론사 한겨레신문의 이반티 VPN 접속을 겨냥한 터널링 도구와 SOCKS5 프록시 스크립트도 발견됐다. 이는 외곽 솔루션·장비를 딛고 내부로 파고드는 전형적인 ‘공급망 경유’ 침투 방식이라고 연구진은 설명했다.
또한, 해커가 기업의 공급망 침투와 병행해 개인 자격증명 탈취도 시도한 정황도 나왔다. 연구진은 네이버·카카오·대학 계정용 피싱 생성기(제너레이터)와 발송기(센더) 코드 및 로그를 확인했다고 설명했다. 네이버 로그인 화면에는 악성 자바스크립트를 심어 ID·패스워드·메일함 전체를 긁어냈고, 카카오에서는 입력값을 서버 로그 파일로 저장하는 방식이었다. 피싱 방식은 ▲가짜 로그인 페이지로 유인 ▲자격증명 입력 ▲로그인 오류로 위장해 사용자 의심 차단 등 순서로 이어지는 전형적인 수법이었다. 피싱 대상은 검찰, 한국지역정보개발원, 국군방첩사령부, 라온시큐어 등 226개 기관과 기업의 이메일 계정이었다. 다만 연구진은 “피싱 메일 발송이 곧바로 침해를 의미하지는 않으며, 실제 피해 여부는 각 기관 확인이 필요하다”고 첨언했다.
김휘강 교수는 “망분리·다층 방어를 갖춘 환경에서도 내부 인증서와 서버 관리계정까지 장악된 정황이 보인다”며 “초기 침투 경로는 다양한데, 외부 노출 자산과 납품 소프트웨어의 작은 결함이 연결고리가 된다”고 우려했다. 이어 “정부와 민간 모두에서 내부 인증서와 계정 장악 정황이 확인됐지만 개인정보가 실제로 외부로 유출됐다는 사실까지는 확인되지 않았다”며 “피해 사실에만 집중하기보다는, 공격이 얼마나 장기간 집요하게 이뤄졌는지를 인식하고 전사적인 대응 체계를 정비하는 것이 중요하다”고 강조했다.
연구진 “공급망·탐지·공유, 세 가지 축이 해법” 강조
연구진은 이번 분석 자료를 정리하며, 공급망 보안을 최우선 과제로 꼽았다. 김 교수는 “언급된 기관과 기업들이 보안 투자를 하지 않는 곳들이 아니다“며 “보안 투자를 꾸준히 해온 조직이라도 연결고리 하나의 결함이면 뚫린다. 공격 표면 관리(ASM) 자동화·정기 모의침투를 정기적으로 진행하고, 소프트웨어 자재 설명서(SBOM)·하드웨어 자재 설명서(HBOM)·인공지능 자재 설명서(AI BOM)로 납품 소프트웨어의 부품단까지 추적해야 한다”고 권고했다. 또, 침해 사실만 보여주는 ‘침해 지표(IOC)‘보다 어떤 행위를 했느냐를 보여주는 ‘행위 지표(IOA)‘를 자세히 공유해 새로운 공격 방식에도 흔들리지 않는 보안 탐지 체계를 구축해야 한다고 강조했다.
김 교수는 “이번 문건은 우리를 노린 해커의 수법과 행위가 고스란히 담긴 ‘살아있는 교재’”라며 “비판이나 사후 징계를 위해 책임만 묻기보다는, 유관기관·민간이 탐지 정보(IoC·IoA)를 신속히 공유하도록 인센티브를 주는 방식으로의 인식 전환이 필요하다”고 강조했다.
고려대 연구진 관계자는 “보고서 발표 사실을 알린 오늘(22일) 오전만 해도 정부와 유관 기관에서 다수의 코멘트와 추가 정보 제보가 들어왔다”며 “보고서를 공개적으로 계속 업데이트하겠다“고 전했다.
한편, 과학기술정보통신부는 지난 20일 국회 과학기술정보방송통신위원회 전체회의에서 이번 문건 공개 이후 언급된 KT와 LG유플러스의 해킹 정황에 대해 “해당 내용을 본격적으로 살펴보겠다”고 밝힌 바 있다.
글. 바이라인네트워크
곽중희 기자 god8889@byline.network
