고려대 연구진 "중국 해커, 한국 통신사 노린다"… '해킹 예방' 초점 둬야

2025-08-22

고려대 정보보호대학원, '김수키 추정 해커그룹 해킹 분석 보고회' 개최

정부·공공기관·민간 등 전방위 공격… 소스코드 등 중국 연관 흔적 발견

[미디어펜=배소현 기자] "우리나라 보안 향상을 위한 인식 제고가 필요하고, 보안 수준 향상을 위해 협업체계의 점검이 필요한 시점입니다."

고려대학교 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터는 22일 서울 성북구 고려대 정운오IT교양관에서 '김수키 추정 해커그룹 해킹 분석 보고회'를 개최했다.

이날 발표자로 나선 김휘강 고려대학교 정보보호대학원 교수는 국내 이동통신사 등을 공격한 해커 조직이 북한 정찰총국 산하 '김수키'가 아니라 중국 조직일 가능성이 높다고 밝혔다.

특히 김 교수는 이 자리에서 해킹 피해 사실을 공개한 기업을 비난하기보다도 이를 드러내 후속 피해를 예방할 수 있도록 전반적인 보안 면역을 높여야 한다는 점을 강조했다.

우선 김 교수는 이번에 추적된 해커 그룹에 대해 북한 해커조직 '김수키'가 아닌 중국 계열 해커 그룹이나 이에 영향 받은 그룹일 가능성에 무게를 실었다.

김 교수는 "공개된 자료만으로는 북한에 의한 공격이라 단정 지을 수 없다"며 "해커 작업 패턴을 종합하면 중국어에 친숙하고 한국어는 익숙하지 않은 중국인일 가능성이 매우 높다"고 밝혔다.

근거로는 △소스 코드에 중국어로 작성된 주석이 포함된 점 △중국 해커그룹들이 그간 즐겨 쓰던 해킹 수법과 동일한 공격 도구를 사용한 점 등을 제시했다.

또 △한국어 문장을 구글 번역 사이트를 통해 중국어 또는 영어로 번역한 점 △중국 청명절이나 노동절, 단오 등에는 해킹을 하지 않은 점 △여가 시간에 중국 동영상 사이트 에이시펀(AcFun)에 반복적으로 접근한 점 등도 조명했다.

그러면서 김 교수는 "'프랙' 저자들의 추론처럼 중국과 긴밀하게 교류하는 김수키 그룹의 행위일 가능성도 배제할 수는 없으나, 북한의 소행이라고 단정 짓기에는 증거가 미비하다"고 부연했다.

아울러 고려대 연구진에 따르면 해당 해커는 리눅스 시스템과 VPS(가상사설서버)에서 확보한 데이터 분석을 통해 한국의 정부·공공기관은 물론 민간 기업까지 공격 대상으로 삼았다.

구체적으로 행정안전부는 행정전자서명(GPKI) 인증서 관련 소스코드와 문서가, 외교부는 내부 메일 서버 소스코드가 유출됐다. 통일부와 해양수산부는 온나라 서비스 관련 소스코드와 내부망 사용자 인증 기록이 각각 유출된 것으로 확인됐다.

LG유플러스와 KT 등 주요 통신사, 그리고 한겨레 등 언론사의 내·외부망이 해커의 침투를 받은 정황도 드러났다.

이와 관련해 김 교수는 "현재는 이런 취약점에 대한 대처가 다 이뤄진 상태"라면서도 "장기간 특정 기업을 대상으로 해킹을 진행하면 사실상 막을 수 있는 기업은 거의 없다"고 지적했다.

그러면서 고려대 연구진은 이번 해킹 데이터 분석이 피해 기관·기업에 대한 처벌이나 비난이 아닌 '예방'을 강화하자는 데에 초점을 둘 것을 분명히 했다.

김 교수는 "해킹 조직이 마음 먹고 제대로 공격하기 시작하면 보안에 지속적으로 투자해오던 기업이더라도 피해는 언제든지 불가피할 수 있는 것"이라며 "처벌에만 관심이 쏠리면 해킹 사실을 감추는 등 부작용이 커질 수 있다"고 우려했다.

이어 "고도화되는 해킹들을 예방하기 위해 해킹 수법 등을 빠르게 공유해서 '보안 면역'을 높이는 게 중요한 것"이라며 "보안 침해 사고에 대한 대응을 '책임과 엄벌'에서 '공유와 협업 그리고 집단 대응'으로 전환해야 한다"고 강조했다.

아울러 우리나라 보안 수준 전반에 대한 점검 필요성을 역설했다. 김 교수는 "고도화된 탐지 기술 확보와 국가지원 해킹 그룹에 대한 위협 정보 수집에 과감히 투자해야 한다"며 "보안 강화를 위한 정책적 개선과 함께 해킹 현장에서 확보한 정보를 공유해 집단 대응을 촉진하는 제도적 장치가 필요하다"고 피력했다.

Menu

Kollo 를 통해 내 지역 속보, 범죄 뉴스, 비즈니스 뉴스, 스포츠 업데이트 및 한국 헤드라인을 휴대폰으로 직접 확인할 수 있습니다.