공개된 ‘北 해커 김수키 문건‘엔 뭐가 담겼나

By곽중희

방첩사·외교부 등 국가기관, 민간 대기업 피싱 시도 정황 발견
전문가들 “기밀망 침투 가능성 낮지만, 경계 강화해야”

북한 연계 해킹 조직 ‘김수키(Kimsuky)‘로 추정되는 공격자의 작전 내역이 세계 최대 해킹 콘퍼런스 데프콘(DEF CON) 무대에서 공개됐다.

‘APT Down: The North Korea Files’라는 이름의 이 자료는 8월 초 미국의 비영리 내부 고발 사이트 디도시크릿(DDoSecrets)이 공개한 것으로, 안에는 8.9GB 분량의 데이터가 담겨 있었다. 데이터에는 ▲피싱 로그 ▲악성코드 소스코드 ▲인증서 탈취 정황 등 김수키로 추정되는 공격자가 다뤘던 다수의 정보가 포함돼 있다.

김수키는 2013년경 처음 포착된 북한 연계 해킹 조직으로, 외교·안보·통일 분야를 중심으로 한국과 미국 등에서 장기간 사이버 첩보 활동을 벌여온 것으로 알려져 있다.

군·외교 핵심기관 피싱 시도 다수 발견

보고서에 따르면, 김수키로 추정되는 공격자는 최근까지 국군방첩사령부(DCC)를 대상으로 정밀 피싱을 시도했다. DCC와 유사한 HTTPS 피싱 사이트를 만들어 로그인 자격 증명을 가로채고, 이후 피해자를 실제 DCC 로그인 오류 페이지로 리디렉션하는 방식이었다. 이렇게 하면 피해자가 단순 로그인 실패로 인식해 공격 노출 가능성이 줄어든다.

피싱 서버에는 트렌드마이크로(Trend Micro), 구글 등 기업의 접근을 차단하는 IP 블랙리스트가 내장돼 있었고, 관리 페이지는 특정 쿠키 값을 설정하면 비밀번호 없이 접속 가능했다. 같은 공격 로그에는 대검찰청, 정부 포털, 다음·카카오·네이버 도메인도 포함돼 있었다.

외교부 이메일 플랫폼 전체 소스코드를 유출한 정황도 드러났다. 일부 파일에는 웹메일·모바일·관리자 페이지 모듈과 다수의 설정 파일이 포함돼 있었으며, 유출 시점은 최근으로 추정했다.

공격자 PC서 발견된 ‘정부망 키’…민간 기업 공격 정황도

보고서에 따르면, 공격자의 워크스테이션에서는 정부에서 사용하는 공무원 전자서명 인증서(GPKI) 수천개가 발견됐다. 일부는 통일부의 발급 인증서였으며, 인증서 비밀번호를 알아내기 위한 자바(Java) 프로그램까지 포함돼 있었다.

또한, 정부 내부망 ‘온나라’ 접속용 모듈, Cobalt Strike(모의 해킹 툴) 로더, 맞춤형 비콘(Beacon), 파워쉘(PowerShell), 리버스 쉘 등도 함께 발견됐다. 비콘 설정에는 HTTP 통신 방식, 포트(8172), 휴면 주기(60842) 등 커스텀 값이 포함돼 있었고, 크롬 브라우저 기록에는 대만 정부·군 웹사이트 접속 흔적과 해킹 커뮤니티 방문 내역이 남아 있었다.

디도시크릿이 공개한 북한 APT 관련 데이터 목록

국내 주요 대기업도 공격 대상에 포함됐다. 공격자는 2024년 보안업체 지스케일러(Zscaler)가 발견한 크롬 확장 프로그램 ‘TRANSLATEXT’를 활용, 네이버 로그인 페이지 접속 시 악성 스크립트를 주입해 자격증명을 탈취했다. 로그인 오류 페이지로 리디렉션하는 방식이 함께 사용됐다. 네이버는 과거에도 김수키의 피싱·자격증명 탈취 대상으로 지목된 바 있는데, 이번에 확인된 공격에도 동일한 패턴이 나타났다.

국내 주요 통신사를 겨냥한 공격 시도 정황도 있었다. 보고서에 포함된 데이터 덤프 분석 결과, 한 통신사의 경우 보안 솔루션 공급업체를 먼저 해킹해 내부로 침투한 것으로 추정됐고, 또 다른 통신사는 원격 제어 서비스에 사용되던 인증서와 개인키를 탈취당한 정황이 기록됐다.

이번 자료에는 공격을 분석한 보고서 외에도 작성자가 직접 쓴 평가도 포함됐다. 작성자는 “김수키는 해커가 아니다”라며 “정치·금전 목적에 종속된 범죄 집단일 뿐”이라고 비판했다. 자료 공개 이유에 대해서는 “한국 피해자들이 비밀번호를 바꿀 시간을 주기 위해 먼저 알렸고, 이후 이 자료를 공개한다”며, “이 데이터가 위협 헌터, 리버스 엔지니어, 해커들이 즐기고 배우도록 하기 위함”이라고 밝혔다. 작성자는 또 공격자의 허술한 보안 습관을 지적하며, 북한 APT 조직과 중국 해커 간 연계 가능성을 암시했다.

전문가들 “기밀망 침투 가능성 낮지만, 경계 강화해야”

국가정보원은  “관련 내용을 포착해 유관기관과 공조해 필요한 조치를 이미 완료했으며, 배후 조직 등을 지속적으로 추적하고 있다”고 밝혔다.

이진 사이버안보연구소 연구소장은 “로그인 시도나 피싱 기록이 남았다고 해서 곧바로 정보 유출이나 침해가 있었다고 단정하기는 어렵다”며 “국내 공공기관은 망분리·다단계 인증 등 다층 방어 구조를 갖추고 있어 실제 기밀망 침투 확률은 매우 낮다”고 진단했다.

다만 그는 “과거 김수키가 사용했던 기법이 다크웹 등에서 꾸준히 재활용·변형되고 있어, 방어 측면에서 주요 공격 방식의 패턴을 분석하는 것을 게을리하면 안된다”고 강조했다.

한 보안업체 관계자는 “최근 국내 주요 공격 사례에서도 확인되듯 국가 해킹 그룹의 대규모 공격이 심각해지고 있다”며 “경계 보안 개념이 약해진 만큼 내부 인프라의 존(zone)별 보안보다 데이터 보안 중심으로 전환하고, 내부 통신 행위에 대한 위협 탐지·분석·관리를 강화해야 한다”고 지적했다.

이어 “보고서에서 언급된 김수키의 7가지 백도어·아티팩트(시스템이나 애플리케이션이 동작하면서 자동으로 생성되는 데이터 흔적) 분석 내용은 새로운 공격보다는 기존 취약점이 사고로 이어지는 양상을 보여준다”며 “공공기관뿐 아니라 관련 연관 기업까지 보안을 강화하는 것이 시급하다”고 덧붙였다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.