[윤상호 기자]
정보보안이 더 이상 일개 기업의 문제가 아니라는 정황이 또다시 드러났다. 중국 해킹 그룹이 우리 정부 통신사 포털사 언론사 등을 공격한 자료가 드러났다. 통신사는 KT와 LG유플러스가 도마에 올랐다. KT와 LG유플러스는 해킹 자체를 부인하고 있다. 과학기술정보통신부도 이 주장에 힘을 실었다. 논란이 불가피하다.
22일 고려대학교 정보보호대학원은 '지능형 지속 공격 재고(APT-Down Revisited): 국가지원해킹그룹 해킹자료 분석 보고회'를 개최했다.
 |
22일 고려대학교 정보보호대학원은 '지능형 지속 공격 재고(APT-Down Revisited): 국가지원해킹그룹 해킹자료 분석 보고회'를 개최했다/사진=윤상호 기자 |
정보보안이 더 이상 일개 기업의 문제가 아니라는 정황이 또다시 드러났다. 중국 해킹 그룹이 우리 정부 통신사 포털사 언론사 등을 공격한 자료가 드러났다. 통신사는 KT와 LG유플러스가 도마에 올랐다. KT와 LG유플러스는 해킹 자체를 부인하고 있다. 과학기술정보통신부도 이 주장에 힘을 실었다. 논란이 불가피하다.
22일 고려대학교 정보보호대학원은 '지능형 지속 공격 재고(APT-Down Revisited): 국가지원해킹그룹 해킹자료 분석 보고회'를 개최했다.
이달 초 미국 보안 잡지 프랙(Phrack)에 화이트해커 2명이 올린 '북한의 APT(APT Down: The North Korea Files)'이 발단이다. 이들은 북한 해킹그룹 '김수키(Kimsuky)' 소속 해커의 PC를 해킹한 자료를 공개했다고 주장했다. 이 자료에는 우리 정부와 기업 해킹 기록 등이 들어있었다. 2024년 하반기부터 2025년 6월까지 해킹 기록이 실렸다. 이 때문에 북한 해킹 그룹의 우리 정부와 기업 공격이 일상화했다는 우려가 커졌다.
김휘강 고려대 정보보호대학원 교수는 "조사 결과 북한이 아닌 최근 유행하는 해킹 수법 등에 숙련된 한국의 인터넷 사용 환경 등에 대해 매우 잘 알고 있는 중급 또는 고급 이상 수준을 갖춘 중국 해커의 공격에 대한 자료일 가능성이 높다"라며 "행정안전부 외교부 통일부 해양수산부 KT LG유플러스 한겨레 침투 흔적과 네이버 카카오 연세대 피싱 시도를 발견했다"라고 밝혔다.
김 교수는 해커 소속 기관은 중국 APT41 UNC3886 또는 이 영향을 받은 그룹으로 판단했다.
그는 "APT41 UNC3886이 공격에 사용하는 소스코드와 유사성을 확인했고 소스코드에서 중국어 간체 주석 등이 다수 나왔다"라며 "쉬운 한국어도 번역기를 사용했고 중국 커뮤니티 사이트 등에 접속하는 등 해커는 한국어를 모르는 중국어를 사용하는 인물"이라고 설명했다.
또 "정해진 업무 시간에 대부분의 행동이 발생하고 중국 공휴일과 주말 등에는 현저히 활동이 줄어드는 등 조직화한 해킹 업무 실행도 파악했다"라고 덧붙였다.
 |
22일 고려대학교 정보보호대학원은 '지능형 지속 공격 재고(APT-Down Revisited): 국가지원해킹그룹 해킹자료 분석 보고회'를 개최했다/사진=윤상호 기자 |
국내 피해도 사실로 확인했다. 다만 해킹 정도와 개인정보유출 여부는 추가 조사 등이 필요하다. 정부 부처는 내부 자료 유출 및 내부망 침투에 성공한 것으로 여겨진다. 통신사는 LG유플러스는 내부망에서 다루는 정보가 들어있었다. KT는 내부 서버 인증서가 있었지만 만료된 상태다.
김 교수는 "LG유플러스는 내부망이 뚫린 것으로 보이고 KT는 온도차가 있을 수 있다"라며 "장기간 특정 기업을 대상으로 해킹을 진행하면 사실상 막을 수 있는 기업은 거의 없다"라고 진단했다.
아울러 "현재는 이런 취약점 등에 대한 대처는 다 이뤄진 상태"라고 부연했다.
그러나 어떻게 해킹이 발생했는지는 알아내지 못했다. 공개 데이터에 이 내용이 없었기 때문이다. 지난 4월 불거진 SK텔레콤 가입자식별모듈(USIM, 유심) 정보 해킹이 이들의 소행인지도 알 수 없다.
김 교수는 "최초 해킹 수단과 시점은 공개 데이터에 들어있는 것이 없어 알 수 없다"라며 "SK텔레콤 관련 내용도 없다"라고 전했다.
 |
22일 고려대학교 정보보호대학원은 '지능형 지속 공격 재고(APT-Down Revisited): 국가지원해킹그룹 해킹자료 분석 보고회'를 개최했다/사진=윤상호 기자 |
한편 고려대 정보보호대학원은 이번 해킹 데이터 분석이 '처벌'쪽으로 가면 안 된다는 점을 분명히 했다. '예방'에 초점을 맞춰야 한다고 권고했다.
정익래 고려대 정보보호대학원 원장은 "정부 기관과 기업 이름이 나왔지만 이들은 오히려 이제 대응이 가능해졌다는 긍정적 효과가 있다"라며 "알려지지 않은 해킹이 있었고 지금도 이뤄지고 있을 수 있기 때문에 이번 보고회가 사이버 보안에 대한 경각심을 일으킬 수 있는 계기가 됐으면 한다"라고 말했다.
김 교수도 "처벌에만 관심이 쏠리면 해킹 사실을 감추는 등 부작용이 커질 수 있다"라며 "고도화한 탐지기술 확보 및 국가지원 해킹그룹에 대한 사이버 위협 정보 확보 투자 확대와 정책적 개선 방안 논의가 필요하다"라고 조언했다.
이와 함께 "보안 침해 사고에 대한 대응을 '책임과 엄벌'에서 '공유와 협업 그리고 집단 대응'으로 전환해야 한다"라며 "투자를 한다고 공격을 전부 막을 수 있는 것이 아니기 때문에 지속적이고 정기적인 취약점 제거도 요구된다"라고 강조했다.
윤상호 기자 crow@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![[크립토24] XXI, 상장 첫날 주가 20% 급락…비트코인 4만개 보유에도 시장 반응은 냉담](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F126%2F2025%2F12%2F16%2F74095de3e6594b2a995736edcf5c55a4.jpg&w=384&q=100)
