1. 정부 부처들과 통신사, 내부망 및 이메일 대거 해킹
2. 6월 10일 해커 컴퓨터에서 탈취된 데이터 대량 발견
3. 리눅스 취약점 악용...중국 배후 가능성도 제기
[보안뉴스 강현주 기자] 북한 또는 중국 배후로 추정되는 해커 조직이 대한민국 행정안전부와 외교부, 방첩사를 타깃으로 대규모 해킹을 감행한 것으로 알려져 국가안보에 비상이 걸렸다. 국내 통신사도 같은 해커 조직으로부터 공격을 당한 것으로 드러났다.
9일 <보안뉴스> 취재에 따르면, 국가정보원은 행안부, 외교부, 방첩사에 북한 배후 해킹 집단 ‘김수키’의 공격 행위를 포착함에 따라 비상 대응령을 내리고 긴급 조치를 완료한 것으로 드러났다. 통신사 내부에도 해당 내용이 전달돼 대응에 나선 것으로 알려졌다.
해커 조직이 피싱, 지능형 지속 공격(APT) 등의 수법으로 정부부처의 내부 서버 및 네트워크, 이메일 플랫폼 등의 접속 권한을 대규모로 탈취한 것이다.

▲‘APT Down: The North Korea Files’ 보고서 [자료: 보고서 스크린샷]
리눅스 취약점 ‘Tomcat’ 악용 백도어 등 사용
이러한 대규모 해킹 공격 사건은 미국의 보안 연구 및 해킹 기술 전문 세계 권위의 잡지 ‘프랙’(Phrack)을 통해서도 한국 시간으로 8일 밤 11시에 발표됐다. ‘APT Down: The North Korea Files’라는 제목의 보고서에 따르면, 북한의 국가 배후 해커 조직 ‘김수키’ 소속으로 추정되는 해커의 컴퓨터에서 대한민국 행안부와 외교부, 국군방첩사령부, 국내 통신사의 내부 시스템 접속 계정 및 키가 방대한 양으로 저장된 데이터 ‘덤프’가 지난 6월 10일 발견됐다.
행안부의 경우 정부 내부 네트워크 시스템인 ‘온나라 시스템’이 공격당했다. 외교부는 이메일 플랫폼이 해킹됐다. 다만 외교부가 탈취 당한 데이터 중 일부는 현재 사용되지 않는 과거의 것으로 알려졌다. 방첩사는 스피어 피싱 공격 로그가 발견됐다. 통신사의 경우 원격 제어 서비스 시스템에 사용되는 인증서와 키가 대량으로 탈취되거나 내부 서버에 접속하는 비밀번호들이 대량 유출됐다.
이 보고서는 ‘Saber’라는 닉네임의 화이트해커가 ‘KIM’이라고 통칭된 공격자의 컴퓨터를 해킹해 찾아낸 내용을 토대로 작성한 것이다. 현재 다크웹에는 이번에 탈취된 정보들의 ‘덤프’(Dump) 일부가 공개돼 있다. 실제로 해당 사이트에 접속하면 공격자가 사용한 백도어와 공격 도구 및 탈취한 정보 등이 이 덤프 파일 내 포함돼 있음을 확인할 수 있다.
공격자는 리눅스 커널의 취약점 ‘Tomcat’을 악용한 원격 백도어를 사용했다. 또한 피싱 도구를 활용해 피해자를 가짜 로그인 페이지로 유도하고 로그인 정보를 탈취했다.

▲다크웹에 공개된 행안부·외교부·방첩사 및 통신사 해킹 관련 정보 및 탈취 데이터 [자료: 다크웹 스크린샷]
북한 지목했지만 중국 배후 가능성도 제기
공격자들은 탈취된 정보를 악용해 내부 시스템을 제어하고 기밀 정보 유출이나 조작 등의 공격을 가할 가능성이 있다는 점에서 파장이 클 것으로 보인다. 단기적으로는 추가 공격이 발생하지 않을 수 있지만, 추후 언제 어떻게 악용될지 알 수 없기 때문이다.
보고서 작성자는 공격자를 북한 배후의 ‘김수키’로 추정하고 있지만, 국내 주요 보안 전문가 사이에서는 북한보다는 중국 배후 공격일 가능성이 높다는 견해도 나오고 있다.
위협 모니터링 분야 한 전문가는 “공격자가 사용하는 언어적 특성, 공격 수법 등을 살펴보면 북한보다는 중국 배후일 가능성이 높아 보인다”고 분석했다.
보안 업계 한 관계자는 “대한민국 안보와 직결된 정부부처들과 주요 통신사들이 해킹 당한 사실이 드러나면서 국정원 등 정부 기관에서는 다크웹에 게시된 탈취 당한 정보를 내리는 데 총력을 기울이고 있다”며 “이번 해킹은 단순 정보 탈취를 넘어 국가 안보 근간을 흔들 수 있는 중대한 사안인 만큼 추가 피해가 발생하지 않도록 만전을 기해야 할 것”이라고 말했다.