[긴급 세미나] 고려대, 프랙 공개 해킹 자료 긴급 분석…중국 해커 연루에 무게…보안불감증 한국 여전히 ‘쉬운 표적’

북한 아닌 중국 해커 가능성↑…APT41·UNC5221 연관성 주목

공공기관·인프라 무차별 공격당해…공격표면 관리 제도화 시급

고려대학교 정보보호대학원 해킹대응기술연구실(HCRL), 디지털포렌식연구센터(DFRC)는 8월 22일, 안암캠퍼스 정운오IT교양관에서 긴급 세미나를 열고 최근 세계적 해킹 전문 간행물 프랙(Phrack) 매거진에 공개된 ‘APT-Down Revisited: The North Korea Files’ 자료를 심층 분석해 그 시사점을 공유하는 자리를 가졌다. 이번에 공개된 데이터는 국가지원 해킹그룹이 수개월 이상 사용한 실제 작업환경과 공격 도구, 피해자 데이터가 포함되어 있어 전 세계 보안 전문가들이 주목한 자료다.

세미나를 주최한 고려대 정보보호대학원은 “국가지원 해킹그룹의 내부 작업환경이 그대로 공개된 사례는 극히 드물다”며, 이번 사건이 단순한 해커 분석을 넘어 국가 보안체계의 근본적인 허점을 드러낸 전환점이라고 강조했다. 또한 한국 정부기관과 주요 인프라가 다수 공격 대상에 포함된 만큼, 한국 사회 전반에 보안 경각심을 환기할 필요가 있다고 밝혔다.

■고려대 교수진 “심각성에도 불구하고 국내 관심 부족…전화위복의 계기 삼아야”

이번 보고서 작업을 주도한 고려대학교 정보보호대학원 김휘강 교수는 “8월 초에 발표된 Phrack 문서와 이 문서에서 다루고 있는 우리나라를 대상으로 한 해킹 사건이 그 중요성과 심각성에도 불구하고 예상외로 국내에서 큰 관심을 받지 못했고, 그나마 반짝 등장했던 관심마저도 급격히 사라지고 있는 것 같아 안타깝다”며, “국가 지원을 받는 해킹그룹들이 고도의 해킹기술을 이용해 얼마나 집요하게 장기간에 걸쳐 주요 기관 및 기업들을 노리고 있는지를 알 수 있었다. 침해사고가 발생하게 되면 추가 피해를 예방하는 쪽에 방점을 두어 협업과 대응이 촉진되는 쪽으로 정책이 전환되는 계기가 되었으면 한다”고 강조했다.

함께 보고서 작성에 참여한 박정흠 교수도 “Phrack 문서는 우리나라의 사이버 안보를 위협하고 있는 해커그룹의 공격 흔적, 사용 코드와 도구 등 실제 공격 수법과 행위가 그대로 담겨있는 살아있는 교재로 우리에게 큰 의미가 있다”며, “이 문서에 대한 상세 검토 및 추가적인 분석을 통해 우리나라 사이버보안 산업 발전과 대응력 향상을 위한 전화위복의 계기로 만들어야 한다”고 말했다.

■한국 공공기관과 통신 인프라 전방위 타격

분석 결과, 유출된 데이터는 두 가지 범주로 나뉘었다. 첫째는 해커가 공격 준비에 사용한 워크 시스템으로, 이는 리눅스 기반 환경에서 다수의 공격 도구와 로그가 수집된 서버다. 둘째는 피싱 사이트 운영용 VPS로, 실제 한국 이용자들을 대상으로 한 피싱 캠페인이 운영된 흔적이 담겨 있었다.

워크 시스템의 로그에는 한국표준시(KST)와 한국어 기반의 환경 설정이 확인됐다. 특히 리눅스 부팅 로그와 데몬 로그에는 한국어 메시지가 다수 남아 있었고, 이는 공격 대상이 한국 기관과 사용자를 중심으로 설계됐음을 보여주는 정황이다. 실제로 피해는 다수의 한국 정부기관, 통신사, 주요 포털, 민감한 인프라 운영기관까지 포함된 것으로 분석됐다.

피해 유형도 다양했다. 일부 기관은 시스템 내부 침투를 통한 직접 피해를 입었고, 또 다른 다수의 피해자는 계정 정보 탈취를 목적으로 한 피싱 공격의 대상이 됐다. 이처럼 공격은 개별 서버 장악에 국한되지 않고, 조직 구성원 개인의 이메일과 계정을 정밀 타격하는 방식으로 병행됐다. 이는 국가 기반 인프라를 겨냥한 장기적이고 집요한 공격이었음을 입증한다.

■북한 김수키보다는 중국 해커그룹 연관성 강하게 드러나

공격자 분석에서는 리눅스 시스템을 감염시키는 커널 모드(rootkit) 악성코드 syslogk 기반 루트킷, 자체 제작 백도어, 이반티(Ivanti) SSL VPN 취약점(CVE-2025-0282) 악용 도구 등이 확인됐다. 이들 공격 도구와 TTP(Tactics, Techniques, Procedures)는 기존에 보고된 중국 해커그룹 ‘APT41’ 및 ‘UNC5221’의 활동과 강한 유사성을 보였다.

참고로, ‘APT41’은 중국 정부 지원을 받는 것으로 알려진 대표적 해킹그룹으로, 사이버 스파이 활동과 금전적 범죄 활동을 병행한다는 점에서 독특한 성격을 가진다. 이들은 2012년경부터 활동이 포착됐으며, 전 세계 정부기관, 의료, 금융, 통신, 게임 산업 등 다양한 분야를 공격해왔다. 이 조직은 공식적으로 배포된 소프트웨어 업데이트를 악용한 공급망 공격, 웹 서버 취약점 악용, 커스텀 백도어 개발 등 폭넓은 공격 기법을 사용하며, 동시에 가상화폐 탈취, 온라인 게임 재화 도용 등 경제적 이득을 노린 공격도 병행한다. 이처럼 국가 차원의 정보 수집과 범죄적 동기가 혼재된 다층적 활동이 특징이다.

또 ‘UNC5221’은 최근 맨디언트 등 글로벌 보안기업 보고서에서 Ivanti Connect Secure VPN 취약점(CVE-2025-0282, CVE-2025-22457 등)을 악용한 공격으로 주목받은 그룹이다. 이들은 침투 후 SSL_read 후킹을 통한 은닉 통신, 파일리스 백도어 설치, 매직 바이트 기반 트리거 기법 등 고급 기법을 활용해 흔적을 최소화한다. 특히 동일한 루트킷 클린업 전략(iptables 명령어 활용)과 중국 해커 포럼에서 공유된 코드 사용 등으로 인해 중국과의 연관성이 강하다. 일부 보안업체는 UNC5221과 UNC5337을 동일 그룹으로 판단하기도 한다. 이들은 전형적인 중국계 첩보 해킹조직의 성격을 지니며, 정부기관 및 주요 인프라 침해에 집중하는 경향을 보인다.

특히 고려대 측은 “해커의 크롬 브라우저 기록에는 한국어 문서를 중국어나 영어로 번역한 내역이 남아 있었고, 공격 코드에는 중국어 주석이 발견됐다. 또한 공격자의 작업 패턴은 중국 직장인의 근무 형태와 유사한 규칙성을 보였으며, 중국 명절인 단오 연휴 기간에는 활동이 중단되기도 했다”고 설명했다.

이러한 정황을 종합한 고려대 연구진은 “북한 김수키(Kimsuky)의 연계 가능성을 완전히 배제할 수는 없으나, 중국 해커그룹의 소행일 가능성이 더 높다”고 결론을 내렸다. 즉, 이번 사건은 한·중·북 간 해킹 그룹의 협력 혹은 교차 행위를 시사하는 사례로 평가됐다.

■정부 및 공공 조직의 보안 불감증 심각….공격표면 관리 중요

한편 보고서는 가장 큰 문제로 보안 불감증을 꼽았다. 행정안전부, 외교부, 통일부 및 해양수산부 등 핵심 정부기관과 국가 인프라가 침해됐음에도 불구하고 피해 사실을 조기에 탐지하거나 대응하지 못했다는 점은 심각하다. 피해 기관들이 공격 사실을 인지하지 못했거나, 인지 후에도 신고 체계가 제대로 작동하지 않았을 가능성이 제기됐다.

더 큰 문제는 사회적 관심 부족이다. 2025년 들어 연이어 발생한 대형 보안사건으로 인해 국민적 피로도가 높아지면서, 심각한 침해사건조차 대중의 주목을 받지 못하고 지나가는 상황이 벌어졌다. 이는 결과적으로 보안 사고의 경각심을 떨어뜨리고, 보안 예산과 정책 추진에도 부정적 영향을 끼쳤다.

보고서는 향후 대응 방향으로 사이버위협정보(IoC, IoA) 공유 강화, 탐지 기술 고도화, 침해사고 신고 체계 개선 등을 제시했다. 특히 ASM(Attack Surface Management) 기반의 상시 점검을 강조하며, 기업과 기관이 보유한 공격표면(Attack Surface)을 실시간으로 식별·관리하지 않는다면 향후 유사한 공격은 더욱 빠르고 치명적으로 확산될 것이라고 경고했다. ASM 도입은 단순 취약점 점검을 넘어, 조직이 노출된 자산을 식별하고 지속적으로 방어력을 평가하는 핵심 과제로 제시됐다.

■외부에 노출된 공격표면 실시간 추적하고 대응하는 전략 제도적으로 마련해야

세미나에서는 예상되는 질문과 답변을 담은 FAQ가 함께 공개됐다.

먼저 “이번 공격이 북한 김수키(Kimsuky)의 소행인가?”라는 질문에는 “현재로서는 북한 단독 소행을 단정할 근거가 부족하며, 중국 해커그룹의 공격일 가능성이 높다”고 설명했다. 이는 기존 언론의 단순한 ‘북한 해킹’ 보도와 달리, 국제적 맥락 속에서 사건을 해석해야 한다는 점을 시사했다.

또한 “재발 방지를 위한 대책은 무엇인가?”라는 질문에는, 인력 부족과 급증하는 취약점으로 인해 수동적 관리가 불가능한 현실을 지적하며, ASM 솔루션 도입과 정기 모의해킹을 통한 정밀 점검, 상시 모니터링 체계 강화를 강조했다. 이는 단순히 패치를 적용하는 수준이 아니라, 외부에 노출된 공격표면을 실시간으로 추적하고 대응하는 전략을 제도적으로 마련해야 한다는 요구였다.

또 “공격 기술 수준이 얼마나 높은가?”라는 질문에 대해서는, 새로운 제로데이가 동원된 것은 아니지만 지속적이고 집요한 공격은 방어가 극도로 어렵다는 점을 인정했다. 즉, 단순 기술적 난이도보다 공격자의 지속성(Persistence)과 조직적 배경이 위협의 본질임을 강조했다.

■공공기관이 주요 표적이 된 이유…탐지 능력과 대응 체계 취약

공개된 자료는 한국의 정부기관, 통신사, 공공 인프라 운영기관, 그리고 일부 대형 민간기업까지 공격 대상에 포함돼 있음을 보여준다. 피해 양상은 단순히 시스템 침투에 그치지 않았다. 이메일과 계정 탈취를 위한 피싱, 내부망 침투를 통한 장기적 정찰까지 동원됐다.

특히 공공기관이 주 표적이 된 이유는 명확하다. 국가 안보와 직결된 정보를 다루고 있음에도 불구하고 탐지 능력과 대응 체계가 취약하기 때문이다. 실제로 여러 기관은 침해가 발생했음에도 이를 인지하지 못했거나, 사건을 파악하고도 외부와 공유하지 않았다. 신고 체계가 제대로 작동하지 않은 셈이다.

■민간기업의 현실…인력 부족과 취약점 폭증

민간기업 역시 안전지대가 아니다. 대기업조차 수백 개의 시스템과 서비스를 소수의 보안 인력이 관리하는 현실에서, 매달 쏟아지는 취약점과 공격 기법을 따라잡기 어렵다. 중소기업은 더 심각하다. 보안 전담 조직조차 없는 경우가 많아, 공격이 발생하면 사실상 속수무책에 가깝다.

전문가들은 “공격자들은 오래된 서버, 업데이트되지 않은 장비, 방치된 계정을 노린다”며, 관리되지 않는 공격표면이 늘어나고 있는 것이 최대 위험 요소라고 지적한다. 특히 한국 기업들은 클라우드 전환과 디지털화가 빠르게 진행되면서 노출된 자산이 폭발적으로 증가했지만, 이를 실시간으로 관리하는 체계는 거의 마련되지 않았다.

■공격자는 집요하고, 방어는 허술

보고서를 통해 드러난 공격자들의 행위는 놀라울 정도로 집요했다. 오래된 취약점이나 오픈소스 도구를 재활용하더라도, 오랜 시간 집요하게 파고들면 결국 방어망이 뚫린다. 공격자는 한국어가 익숙하지 않아 번역기를 사용하면서도, 꾸준히 목표를 추적하며 침투에 성공했다.

반면 방어는 허술했다. 공공기관과 기업 모두 “설마 우리까지 당하겠느냐”는 안일한 태도를 보였고, 그 결과 침해가 현실화돼도 제대로 대응하지 못했다. 한국 사회 전반에 자리 잡은 보안 불감증이 가장 큰 문제라는 점이 다시 한 번 확인됐다.

■각 부처와 산하기관에 CISO 지정돼 있지만, 실질적 권한과 전문성 부족

이번 사건이 특히 심각한 이유는, 이미 수년간 진행돼 온 공격임에도 불구하고 정부 차원의 적극적 대응이 뒤따르지 않았다는 점이다. 국가 기반시설까지 해킹당한 상황에서 정부가 취한 조치는 제한적이었고, 보안정책은 여전히 사후 대응 위주에 머물러 있다.

전문가들은 공공기관의 보안 조직과 책임 체계를 전면적으로 재정비해야 한다고 지적한다. 현재 각 부처와 산하기관에 정보보안책임자(CISO)가 지정돼 있지만, 실질적인 권한과 전문성이 부족해 이름뿐인 제도에 그치고 있다.

사이버보안 전문가는 “공공기관은 민간기업보다 더 높은 수준의 보안 의무를 져야 한다”고 강조한다. 국가 정보와 국민 데이터를 다루는 기관에서 사고가 발생하면 파급력이 훨씬 크기 때문이다.

따라서 보안사고가 발생했을 때 공공기관은 민간보다 더 무겁고 강력한 책임을 져야 한다. 단순히 기관 내부 징계나 경고로 끝나는 것이 아니라, 법적·재정적 제재와 책임자 처벌이 뒤따라야 한다. 그래야만 공공기관들이 현재처럼 형식적인 대응에 그치지 않고, 실질적 변화에 나서게 된다.

민간기업의 경우 가장 시급한 과제는 공격표면 관리(ASM, Attack Surface Management) 다. 기업이 보유한 모든 디지털 자산을 식별하고, 외부에 노출된 취약점을 상시 점검하는 체계 없이는 이번 사건 같은 공격을 막을 수 없다. 단순히 보안 장비를 추가하는 것이 아니라, 기업의 전체 IT 구조 속에서 공격자가 접근할 수 있는 길을 먼저 차단해야 한다는 것이다.

특히 클라우드와 원격근무 환경이 확산되면서 공격자는 더 많은 진입점을 노릴 수 있다. 전문가들은 “ASM은 선택이 아니라 생존을 위한 필수”라고 지적한다.

■한국은 여전히 ‘쉬운 표적’…보안은 비용이 아니라 국가와 기업 생존 좌우하는 투자

이번 사건은 한국이 국가지원 해커들의 ‘쉬운 표적’이라는 불편한 진실을 다시 드러냈다. 공공기관은 탐지와 대응 능력이 부족하고, 민간기업은 인력과 자원의 한계로 제대로 된 보안체계를 갖추지 못하고 있다.

보안은 비용이 아니라 국가와 기업의 생존을 좌우하는 투자다. 지금처럼 사건이 발생한 뒤에야 땜질식으로 대응한다면, 한국은 앞으로도 국제 해커들에게 손쉬운 먹잇감으로 남을 수밖에 없다.

특히 한국의 공공기관은 민간보다 더 높은 수준의 책임을 져야 한다. 각 기관의 CISO 권한을 강화하고, 보안사고 발생 시 강력한 책임과 처벌을 제도화해야 한다. 동시에 민간기업들은 공격표면 관리 체계를 구축해 스스로를 지켜야 한다. 그렇지 않다면 앞으로 계속 한국은 국가지원 해커들의 연습장이 될 것이다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명