3줄 요약
1. ‘APT Down-The North Korea Files’ 저자 세이버(Saber) 인터뷰
2. 보고서 발표 전 직접 한국 기관들에 이메일…“대응 필요성 알렸다”
3. “해결책 찾기 위해 공개가 더 유용하다 판단”
[보안뉴스 강현주 기자] 지난 6월과 7월, 대한민국 국가 기관들은 한 해커에게 해킹 제보를 받는다. ‘South Korea Hacker Incident’라는 제목의 이메일은 우리 정부와 기업이 해외 국가배후 공격자들에게 털렸음을 알려줬다. 이후 8월, 이 내용은 글로벌 보안 잡지 ‘프랙’(Phrack)을 통해 공개된다.
“국가 위협 행위자들의 행태가 알려지고 해결책이 논의되길 바랐습니다. 제가 그들을 관찰해 얻은 것들을 개인적으로 간직하는 것 보다 공개하는 게 더 낫다고 판단했습니다.”
일명 ‘프랙 보고서’로 알려진 ‘APT Down-The North Korea Files’의 저자인 ‘세이버’는 <보안뉴스>와의 이메일 인터뷰를 통해 이같이 밝혔다.
▲‘APT Down-The North Korea Files’ 저자 세이버 가상 이미지 [자료: 보안뉴스]
지난 8월 8일 공개된 이 보고서는 한국 사회에 국가배후 사이버 공격에 대한 경각심을 환기했다. ‘세이버’(Saber)와 ‘사이보그’(Cyb0rg)라는 활동명을 쓰는 해커들은 공격자의 컴퓨터를 역으로 해킹했다. 거기서 대한민국 정부와 기업에 대한 해킹 증거물들을 찾아냈다. 이들은 중국 또는 북한 배후 공격자가 한국 정부와 기업의 시스템 접근 인증키 탈취, 피싱 공격을 당한 내용 등을 정리했다. 그렇게 쓰여진 보고서가 ‘APT Down-The North Korea Files’이다.
두 해커는 이 사실을 먼저 한국 정부와 기업에 알리고, 8월 8일 ‘2025 데프콘’에서 배포된 프랙 40주년 기념호에 보고서를 실었다. 보안 상의 이유로 신분을 자세히 밝힐 수 없는 독립 해커인 세이버와 이메일로 대화해봤다.
▲40주년을 맞은 글로벌 보안 잡지 프랙 [자료: 프랙]
프랙 공개 두달 전 한국에 알려… ‘Responsible Disclosure’ 메일 보내
세이버에 따르면, 그는 보고서를 프랙에 발표하기 약 두 달전인 6월부터 대한민국에 해킹 사실을 알렸다. 방첩사와 통일부, 한국인터넷진흥원과 기업에 ‘South Korea Hacker Incident’라는 이메일을 보내며 ‘책임감있는 공개(Responsible Disclosure)라는 문구를 제목에 삽입했다.
세이버는 “‘책임감있는 공개’는 피해를 입은 당사자들에게 이를 미리 알려주는 해커들간의 표준절차로, 한국 기관들이 준비하고 조사에 착수할 충분한 시간을 가질 수 있도록 하기 위해 메일을 보냈다”고 말했다. 이어 “일부는 이메일 주소를 알아내기가 필요 이상으로 어려워, 공격자의 서버에서 찾아낸 피싱에 사용된 주소로 이메일을 보내 내부에 전달해 달라고 요청했다”고 밝혔다.
메일 수신자들의 반응에 대한 질문에 세이버는 “처음에는 우리를 조금 의심하는 것 같았고, 자세한 우리의 활동 사항과 우리 행동의 이유를 궁금해했다”고 답했다. 하지만 이는 “이해할 수 있는 우려”라고 덧붙였다. “익명의 답장도 받았지만, 사실 ‘공식적’인 답변은 KISA 침해사고대응팀(KrCERT)만이 보냈다”는 설명이다.
프랙 공개를 통해 해결책 논의 되길 바랐다
세이버는 ‘KIM’이라고 명명한 공격자를 관찰하게 된 계기에 대해 “항상 국가 위협 행위자들이 어떻게 움직이는지 궁금해했고, 그들 중 하나의 활동을 깊이 들여다 볼 기회가 생겼을 때 주저하지 않았다”고 했다.
프랙에 보고서를 공개한 이유는 “전설적인 잡지인 프랙은 많은 세대의 해커들에게 영감을 줘 왔고 지금도 그렇기에 존경하고 있다”며 “40주년 기념호에 보고서 공모 소식을 알고 도전해보기로 했다”고 밝혔다.
이어 “공격자를 관찰한 결과 꽤 흥미로운 결과물(Artifacts)들이 있었고, 이 모든 것을 개인적으로만 갖고 있는 것이 유용하지 않고, 공개하는 게 낫다고 생각했다”며 “공개를 통해 제기된 이슈들이 화제가 되고, 해결책이 논의되고 발견되도록 유도했다고 느낀다”고 말했다.
프랙에 공격자들의 행태를 공개함으로써 이들이 탈취한 접근 권한 등을 무력화 하고, 경각심을 높이며, 공격 유형을 파악해 피해자들이 대응하고, 윤리적 해커들도 참고해 실력을 높이는 데 기여할 것이라는 게 그의 설명이다.
[강현주 기자(jjoo@boannews.com)]
1. ‘APT Down-The North Korea Files’ 저자 세이버(Saber) 인터뷰
2. 보고서 발표 전 직접 한국 기관들에 이메일…“대응 필요성 알렸다”
3. “해결책 찾기 위해 공개가 더 유용하다 판단”
[보안뉴스 강현주 기자] 지난 6월과 7월, 대한민국 국가 기관들은 한 해커에게 해킹 제보를 받는다. ‘South Korea Hacker Incident’라는 제목의 이메일은 우리 정부와 기업이 해외 국가배후 공격자들에게 털렸음을 알려줬다. 이후 8월, 이 내용은 글로벌 보안 잡지 ‘프랙’(Phrack)을 통해 공개된다.
“국가 위협 행위자들의 행태가 알려지고 해결책이 논의되길 바랐습니다. 제가 그들을 관찰해 얻은 것들을 개인적으로 간직하는 것 보다 공개하는 게 더 낫다고 판단했습니다.”
일명 ‘프랙 보고서’로 알려진 ‘APT Down-The North Korea Files’의 저자인 ‘세이버’는 <보안뉴스>와의 이메일 인터뷰를 통해 이같이 밝혔다.
▲‘APT Down-The North Korea Files’ 저자 세이버 가상 이미지 [자료: 보안뉴스]
지난 8월 8일 공개된 이 보고서는 한국 사회에 국가배후 사이버 공격에 대한 경각심을 환기했다. ‘세이버’(Saber)와 ‘사이보그’(Cyb0rg)라는 활동명을 쓰는 해커들은 공격자의 컴퓨터를 역으로 해킹했다. 거기서 대한민국 정부와 기업에 대한 해킹 증거물들을 찾아냈다. 이들은 중국 또는 북한 배후 공격자가 한국 정부와 기업의 시스템 접근 인증키 탈취, 피싱 공격을 당한 내용 등을 정리했다. 그렇게 쓰여진 보고서가 ‘APT Down-The North Korea Files’이다.
두 해커는 이 사실을 먼저 한국 정부와 기업에 알리고, 8월 8일 ‘2025 데프콘’에서 배포된 프랙 40주년 기념호에 보고서를 실었다. 보안 상의 이유로 신분을 자세히 밝힐 수 없는 독립 해커인 세이버와 이메일로 대화해봤다.
▲40주년을 맞은 글로벌 보안 잡지 프랙 [자료: 프랙]
프랙 공개 두달 전 한국에 알려… ‘Responsible Disclosure’ 메일 보내
세이버에 따르면, 그는 보고서를 프랙에 발표하기 약 두 달전인 6월부터 대한민국에 해킹 사실을 알렸다. 방첩사와 통일부, 한국인터넷진흥원과 기업에 ‘South Korea Hacker Incident’라는 이메일을 보내며 ‘책임감있는 공개(Responsible Disclosure)라는 문구를 제목에 삽입했다.
세이버는 “‘책임감있는 공개’는 피해를 입은 당사자들에게 이를 미리 알려주는 해커들간의 표준절차로, 한국 기관들이 준비하고 조사에 착수할 충분한 시간을 가질 수 있도록 하기 위해 메일을 보냈다”고 말했다. 이어 “일부는 이메일 주소를 알아내기가 필요 이상으로 어려워, 공격자의 서버에서 찾아낸 피싱에 사용된 주소로 이메일을 보내 내부에 전달해 달라고 요청했다”고 밝혔다.
메일 수신자들의 반응에 대한 질문에 세이버는 “처음에는 우리를 조금 의심하는 것 같았고, 자세한 우리의 활동 사항과 우리 행동의 이유를 궁금해했다”고 답했다. 하지만 이는 “이해할 수 있는 우려”라고 덧붙였다. “익명의 답장도 받았지만, 사실 ‘공식적’인 답변은 KISA 침해사고대응팀(KrCERT)만이 보냈다”는 설명이다.
프랙 공개를 통해 해결책 논의 되길 바랐다
세이버는 ‘KIM’이라고 명명한 공격자를 관찰하게 된 계기에 대해 “항상 국가 위협 행위자들이 어떻게 움직이는지 궁금해했고, 그들 중 하나의 활동을 깊이 들여다 볼 기회가 생겼을 때 주저하지 않았다”고 했다.
프랙에 보고서를 공개한 이유는 “전설적인 잡지인 프랙은 많은 세대의 해커들에게 영감을 줘 왔고 지금도 그렇기에 존경하고 있다”며 “40주년 기념호에 보고서 공모 소식을 알고 도전해보기로 했다”고 밝혔다.
이어 “공격자를 관찰한 결과 꽤 흥미로운 결과물(Artifacts)들이 있었고, 이 모든 것을 개인적으로만 갖고 있는 것이 유용하지 않고, 공개하는 게 낫다고 생각했다”며 “공개를 통해 제기된 이슈들이 화제가 되고, 해결책이 논의되고 발견되도록 유도했다고 느낀다”고 말했다.
프랙에 공격자들의 행태를 공개함으로써 이들이 탈취한 접근 권한 등을 무력화 하고, 경각심을 높이며, 공격 유형을 파악해 피해자들이 대응하고, 윤리적 해커들도 참고해 실력을 높이는 데 기여할 것이라는 게 그의 설명이다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
