Security

한국 정부가 위험하다 해서 알아보니...아직까지 주인공은 해킹 조직

JustAnotherEditor

11 Aug 2025 — 13 min read

💡

Editor's Pick
- 데프콘 현장에서 한 APT 조직의 내부 정보 유출
- 이 APT 조직은 북한이나 중국과 관련 있을 가능성 높음
- 한국 국방방첩사령부와 대검찰청을 턴 APT 조직

화이트햇 해커들을 위한 올림픽이라고 불리는 ‘데프콘(DEF CON)’에 데이터 폭탄이 떨어졌다. 보안 잡지 프랙(Phrack)을 통해 두 명의 해커가 한 APT 조직의 데이터를 훔쳐 공개한 것이다. 이 사안을 간략히 요약하면 다음과 같다.

1) 데이터를 공개한 자 : 세이버(Saber)와 사이보그(cyb0rg)
2) 어떤 데이터 공개됐나? : APT 조직이 사용한 가상 워크스테이션과 가상 사설 서버에서부터 위 두 명이 탈취한 정보
3) 문제의 APT 조직은 누구인가? : 확실치 않으나 세이버와 사이보그는 킴(KIM)이라고 지칭함
4) 킴? : 북한의 킴수키(Kimsuky)일 가능성이 높음.
5) 공개된 데이터를 볼 수 있나? : 데프콘 현장에서 프랙을 받았다면 일부 받을 수 있었음. 추가 다운로드 사이트는 다음 주 프랙 웹사이트에 게시될 것.

어떤 정보 공개됐나
여기서 가장 중요한 건 2)번이다. APT 조직인 ‘킴’이 가상 워크스테이션과 사설 서버에 어떤 정보를 저장하고 있었을까? 프랙에 의하면 한국 정부와 국방방첩사령부와 대검찰청을 대상으로 한 공격 로그였다고 한다. 그 외 공격에 사용한 도구와 내부 문건, 각종 크리덴셜도 포함돼 있었다. 보다 상세히 열거하면 다음과 같다.

1) 공격자가 사용한 크롬과 브레이브 브라우저에 저장된 기록 2만 건
2) 백도어 사용 설명서
3) 비밀번호와 이메일 주소
4) 다양한 해킹 도구를 사용하는 데 필요한 크리덴셜
5) 한국 정부 기관을 표적 삼은 피싱 캠페인 관련 로그
6) 톰캣(TomCat)이라는 원격 커널 백도어
7) 코발트스트라이크 비컨(Cobalt Strike Beacon)
8) 루트롯(RootRot) 백도어
9) 부시파이어(Bushfire)라는 익스플로잇 도구
10) 안드로이드 토이박스(Android Toybox)라는 익스플로잇 도구

다음 주에는 더 많은 문서와 비밀번호, 소스코드와 명령 파일까지 공개될 예정이다. 데이터가 일부만 공개됐기 때문에 아직 사건의 전말이 파악되지는 않았지만, 해외 보안 전문가들은 여태까지 공개된 데이터만 봤을 때 진본일 가능성이 높다고 보고 있다. 그렇다면 이 정보(와 다음 주에 공개된 추가 정보)를 통해 ‘킴’의 전술과 전략, C&C 인프라, 공격 패턴 등을 보안 업계가 보다 깊이 이해할 수 있을 것이라고 한다. 그 말은 APT 공격에 대한 탐지 능력이 향상될 것이라는 뜻이다.

그 APT가 누군데?
하지만 아직 결론을 내리기에는 이르다. 세이버와 사이보그가 공개한 데이터의 진위 여부가 아직 확실히 밝혀지지 않았으며, ‘킴’이 킴수키라는 것 역시 확실하다고 말하기 어렵기 때문이다. 보안 업체 트렌드마이크로(Trend Micro)의 경우 외신과의 인터뷰를 통해 “과거 킴수키가 사용하던 공격 도구와 인프라와 겹친다”고 말하기는 했다. ‘킴’이 킴수키일 가능성이 낮지 않다는 뜻.

또 다른 외신은 “자료 중 중국어가 상당 수 있다”며 ‘킴’이 오히려 중국 해킹 조직일 수도 있다고 분석했다. 해당 APT 조직 운영자의 브라우징 기록이나 북마크, 방문한 웹사이트 목록을 보면 북한 해커가 아니라 중국 해커라는 걸 대번에 알 수 있다는 것이다. 공개된 백도어 중 일부와 익스플로잇 도구들의 경우 중국 해커들이 즐겨 사용하던 것이라고 짚기도 했다. 킴수키와 협력 관계에 있던 중국 해킹 조직일 수 있다는 결론이다.

하지만 킴수키와 협력한 중국 해킹 조직의 존재에 대해서는 아직까지 알려진 바가 없다. 북한과 중국은 정치적으로 매우 가까운 관계를 유지하고 있기는 하지만 최근 북한은 오히려 러시아와 더 가깝게 지내고 있다. 킴수키 역시 중국 해커들과 손을 잡고 작전을 수행한 적이 한 번도 없다. 중국 해커들과 오히려 표적이 겹치는 경우가 많아 서로를 방해자로 느꼈을 가능성이 더 높다고 보안 전문가들은 보고 있다.

세이버와 사이보그?
이번에 충격적인 데이터를 유출시킨 두 사람, 세이버와 사이보그에 대해서는 알려진 바가 전혀 없다. 이전부터 활동하던 보안 전문가나 해커가 새로운 이름으로 활동하는 것일 수도 있지만, 이 역시 아직까지는 알 수 없다. 여태껏 보안 커뮤니티나 해킹 포럼에도 모습을 드러낸 적이 없으며, 오로지 이번에 데프콘에서 배포된 프랙에서만 등장하고 있다. 물론 세이버나 사이보그, 혹은 그와 비슷한 철자를 가진 이름들이 각각 사용된 사례가 있긴 하나, 동일인물인지는 확실치 않다.

보안 업계 혹은 해킹 세계에 처음 모습을 드러내는 새내기가 이목을 끌기 위해 머리를 굴리고 있는 건 아닐까? 사이버 범죄 세계에서는 명성을 얻는 게 특히 중요하다. 그쪽 바닥에서는 범죄자들 간 신뢰를 쌓는 게 여간 어려운 일이 아니기 때문에(나쁜 놈들은 자기들끼리도 잘 믿지 못한다), 명성이 뒷받침 되어야 비즈니스를 할 수 있다. 세이버와 사이보그가 이전 활동 기록이 전혀 없는 상태에서 대형 폭탄을 터트려(그것도 데프콘 현장에서) 큰 주목을 받았다는 게, 이들의 ‘명성 쌓기’ 전략을 의심케 한다.

게다가 ‘이번에는 이만큼, 다음 주에는 더 많이 공개한다’는 점진적 데이터 공개 역시 ‘블러핑’을 하려는 사이버 범죄자들이 너무나 자주 취하는 수법이다. 이 역시 위의 ‘명성’과 관련이 있는데, 모처럼 자신들에게 쏠린 관심이 식지 않도록 하기 위한 전략이라고 할 수 있다.

하지만 이미 데이터 견본의 검사를 마친 보안 전문가들이 하나 둘 “데이터가 정말 APT로부터 얻어낸 진본일 가능성이 높아 보인다”는 의견을 내비치는 중이다. 게다가 사이버 범죄 세계에 처음 존재감을 과시하려는 자가, 자신이 공개하는 데이터의 품질이나 민감성을 과대광고 함으로써 오히려 자충수를 두는 어리석은 짓을 할 가능성 역시 낮다.

이런 모든 걸 종합해 봤을 때 여태까지 공개된 데이터나 다음 주에 공개될 데이터가 가짜일 가능성은 희박하다고 할 수 있다. 분명 어떤 APT 조직(‘킴’)이 공격에 활용하던, 혹은 공격을 통해 얻어낸 많은 것들이 포함돼 있을 것이다. 다만 세이버나 사이보그가 자랑하는 것처럼 치명적으로 중요한 데이터는 아닐 수 있다. 여러 버전의 복제본 등 사실은 별 영양가 없는 정보가 패키지 안에 포함돼 있어 겉보기에 용량은 어마어마하지만 실속은 놓칠 수 있다는 것이다.

결국 다음 주에 공개될 데이터가 무엇이냐에 따라 세이버와 사이보그의 입지가 정해질 것으로 예상된다. 다음 주에 더 많은 정보를 공개한다는 말로 사람들의 기대감을 잔뜩 부풀렸다가, 실제 그 주가 되면 여러 핑계를 대면서 소량의 ‘의미 없는’ 데이터만을 초라하게 공개하는 사례가 셀 수 없이 많았고, 아직까지는 둘의 행보도 이와 닮아 있다.

한국 정부는 무사한가?
현재까지 공개된 데이터 중에 국방방첩사령부나 대검찰청의 내부 문건으로 보이는 건 발견되지 않은 상태다. 그 두 조직을 비롯해 여러 한국 내 단체들을 공격한 것으로 의심되는 APT 조직의 내부 문서와 로그, 각종 공격 도구들만 공개돼 있다. 그렇기에 현재까지 외신들이나 보안 전문가들은 “APT 조직의 운영 방식에 대한 통찰을 얻을 수 있게 됐다”는 기대감을 보이지만, “한국 정부의 민감한 정보가 새나갔다”는 식으로 말하지는 않고 있다.

따라서 이번 데이터 공개 때문에 한국 정부가 위기 상황이라는 식으로 기사를 작성한 일부 매체들의 보도 방향은 아직 섣부르다고 할 수 있다. 다만 추후에 프랙을 통해 공개되는 정보에 따라 일부 한국 정부 기관의 내부 사정이 훤히 드러나는 불상사가 일어날 가능성이 없지는 않다.