[긴급] 데프콘 33 ‘프랙’ 40주년 기념호서 공개된 북한의 한국 해킹 파일…방첩사·대검찰청 등 국내 정부기관 및 통신사 표적 공격 드러나, 北·中 연계설 엇갈려

한국 국가 안보와 사이버 방어 체계에 심각한 파장 미칠 수 있어

이미 핵심 데이터가 외부로 유출됐을 가능성 커…2차·3차 공격 가능성 대비해야

8월 8일, 미국 비영리 단체 디도시크릿츠(DDoSecrets)가 ‘APT Down–The North Korea Files’라는 제목의 방대한 유출 자료를 전격 공개했다. 이 자료는 해커 ‘Saber’와 ‘cyb0rg’가 국가 연계 해킹 조직의 가상 워크스테이션과 VPS(가상 사설 서버)에서 탈취한 약 8.9GB 분량의 데이터로, DEF CON(데프콘) 33 현장에서 배포된 해킹 문화 계간지 ‘Phrack(프랙)’ 40주년 기념호를 통해 처음 소개됐다.

유출본에는 내부 운영 문서, 자격증명, 백도어 소스코드, 피싱 인프라 로그 등 국가 기밀급 자료가 포함돼 있으며, 분석 결과 대한민국 국군방첩사령부(DCC)와 대검찰청(SPO)을 직접 겨냥한 정밀 피싱 캠페인과 침투 시도가 확인됐다.

■정부기관·통신사·내부망까지 깊숙이 침투

VPS 로그에는 방첩사와 대검찰청 소속 계정 다수의 로그인 시도와 피싱 기록이 담겨 있었다. 특히 외교부 이메일 플랫폼 mofa.go.kr의 내부 깃 저장소 전체가 유출됐으며, 이는 정부 메일 서버 구조와 인증 절차를 그대로 노출시켰다.

또한 외부에서 접근이 불가능한 온나라(onnara9.saas.gcloud.go.kr) 등 정부 내부망 포털 접속 로그가 발견됐으며, 국내 주요 통신사 내부 서버 접근 자격증명, 정부 GPKI 인증서와 키 수천 건이 함께 확보됐다. 일부 인증서는 복호화 비밀번호까지 포함돼 있어, 정부 문서 위·변조나 인증서 기반 추가 공격 가능성이 제기된다.

■고도의 침투 도구 세트 유출

자료에는 정교하게 설계된 침투 도구와 악성코드가 다수 포함됐다.

△Tomcat(톰캣) 원격 커널 백도어: 특정 TCP 시퀀스·IP-ID 조합을 통해 은밀히 접근, 루트 쉘과 내부망 프록시 제공.

△사설 Cobalt Strike(코발트 스트라이크) 비콘: HTTP 기반 C2 통신, 프록시 우회, 대기 시간 기반 은폐 전략 탑재.

△Ivanti(이반티) Control ‘RootRot’: Ivanti 취약점을 이용한 지속 제어 백도어.

△Bushfire 익스플로잇: Ivanti VPN 제로데이 기반 공격, 중국계 APT(UNC5221)와 코드 유사성 확인.

△Android Toybox 변형: 모바일 기기 침투용 모듈화 도구.

△Spawn Chimera 백도어: 한겨레신문 서버를 활용한 포트 노킹 방식 침투.

이들 도구는 단독으로도 위협적이지만, 결합 시 다단계 침투와 장기적 은닉이 가능한 완전한 공격 체계를 형성한다.

■ ‘김수키’ 연계설 vs 중국계 배후설

자료를 공개한 해커들은 운영자를 ‘KIM’이라 명명하고 북한 연계 해킹 조직 ‘김수키(Kimsuky)’ 소속이라는 점을 강조했다. 근거로는 과거 김수키 캠페인과 동일한 피싱 키트 구성, 인프라 도메인 유사성, ‘Covert Stalker’ 작전과의 코드 일치 등이 제시됐다.

그러나 브라우징 기록, 중국어 사용 흔적, 중국 공휴일 기간 작업 중단 패턴, 중국계 APT 도구 사용 등은 중국계 운영자 가능성을 강하게 뒷받침한다. 대만 CTI 기업 TeamT5(팀티5)는 “중국 해커가 북한을 모방하거나 양국 이해가 일치하는 범위에서 느슨하게 협력했을 가능성이 있다”고 분석했다.

즉 이번 유출 이전까지 해당 공격은 북한 연계로 널리 인식됐으나, 코드 내 중국어 주석, 인프라 위치, 타임존 흔적 등으로 인해 중국 개입설이 부각되고 있다. 다만 일부 전문가들은 북한과 중국 간 협력 가능성을 배제할 수 없다고 지적한다.

해외 주요 보안매체인 다크리딩(Dark Reading) 분석에 따르면, 공격 패턴은 중국 APT 그룹의 APT27(Emissary Panda), APT41에서 사용한 전술과 일부 유사성이 나타났다.

트렌드마이크로(Fyodor Yarochkin) 연구원은 이번 유출을 “국가 연계 위협 행위자의 일상적인 작전 범위와 규모, 타깃 우선순위를 이해할 수 있는 희귀한 기회”라고 평가했다. TeamT(팀티5)의 찰스 리(Charles Li) 수석분석가 역시 “이 자료는 단순한 보고서가 아니라 실무 환경의 원본 증거”라며, 공격자 식별과 과거 작전 추적에 활용 가능성을 언급했다.

■ 한국 국가 안보와 사이버 방어 체계에 심각한 파장 미칠 수 있어

전문가들은 이번 사건이 단순한 기술 유출을 넘어 한국의 국가 안보와 사이버 방어 체계에 심각한 파장을 미칠 수 있다고 경고한다. 피해 기관은 즉시 유출 자격증명 무효화, 전 구간 포렌식, 탐지 규칙 보완에 나서야 하며, 탐지 체계는 Tomcat, Ivanti, Cobalt Beacon, 피싱 아티팩트 등 이번에 드러난 요소를 중심으로 고도화해야 한다.

한 보안 분석가는 “이 정도 깊이의 침투면 이미 핵심 데이터가 외부로 유출됐을 가능성이 크다”며 “관계기관은 즉시 IOC 기반 탐지 강화, 로그 분석, 네트워크 세그멘테이션, 다단계 인증(MFA) 도입 등을 시행해야 한다”고 강조했다.

또한, 이번 사건이 공개된 만큼 유출 자료를 활용한 2차·3차 공격 가능성에 대비해, 전 기관 차원의 위협 인텔리전스 공유와 상시 모니터링 체계가 필요하다고 경고했다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025/ 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)

*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.

△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)

△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록 필수: 클릭

(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.

참석확정 문자와 메일 받은 분만 참석 가능)

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★