Security

북한 혹은 중국 해킹 조직 턴 핵티비스트들, 외신과 인터뷰

문가용 기자

Published: 00:30, 22 Aug 2025 (Updated: 03:50, 22 Aug 2025)

💡

Editor's Pick
- 외신 테크크런치, 세이버와 사이보그 인터뷰
- 신원과 해킹 기법은 한동안 미공개일 예정
- 앞으로도 이어질 '해커 해킹'...불법이긴 하지만

얼마 전 데프콘(DEF CON)에서 공개된 8.9GB 데이터 때문에 잠시 소란스럽다가 갑자기 잠잠해진 일이 있었다. 이 데이터는 세이버(Saber)와 사이보그(cyb0rg)라는 ‘화이트햇 해커’ 두 명이 공개한 것으로, 한 해커의 컴퓨터에서 얻어낸 것이었다. 둘은 이 해커를 킴(Kim)이라고 불러, 악명 높은 북한 해커인 킴수키(Kimsuky)를 연상시켰다. 게다가 이 ‘킴’은 북한 정권을 위해 해킹 공격을 실시하는 것으로 분석됐다고 세이버와 사이보그는 알렸다.

이와 관련된 세부 내용은 이미 본지에서 여러 편의 기사를 통해 보도한 바 있다. 내용 반복을 피하기 위해 링크만 걸어둔다.

💡

1편 : https://thetechedge.ai/at-defcon-phrack-reveal-data-dump-by-two-unknown-hackers-korea-involved/

2편 : https://thetechedge.ai/the-weekend-is-coming-with-no-sign-of-relief-yet/

3편 : https://thetechedge.ai/bei-zhong-cujeong-aptjojig-13gaesa-imeil-iyongja-cong226myeong-pising-gonggyeog/

4편 : https://thetechedge.ai/bangceobsa-tagis-gonggyeog-pising-haeking-dogu-sudurug/

5편 : https://thetechedge.ai/oegyobu-meil-seobeo-tongjjaero-gonggae/

하지만 세이버와 사이보그는 이 사건 이후 더 이상 정보를 공개하지 않았고, 해킹 포럼이나 매체에 스스로를 노출시키기도 않았다. 사건의 규모와 심각성에 비해 주목도가 원래부터 높지 않았는데, 추가 소식 없이 시일이 지나니 더 조용해졌고, 이대로 묻히나 했다. 하지만 22일 한국 고려대학교에서 위에 언급된 8.9GB 데이터를 보다 상세히 분석한 결과를 발표하기로 했고, IT 외신 테크크런치가 세이버와 사이보그를 만나 인터뷰를 진행하면서 다시 사건이 수면 위로 올라오기 시작했다.

테크크런치와의 인터뷰
세이버와 사이보그는 두 가지를 절대로 공개하지 않을 예정이라고 한다. 하나는 자신들의 신원이고, 다른 하나는 킴의 컴퓨터에 진입한 방법이다. 킴은 북한 해킹 그룹일 수도 있고 중국 조직일 수도 있는데, 어찌됐든 북한 정권을 위해 일하는 것은 분명해 보이고, 지금쯤이면 자신들의 컴퓨터에 외부인이 침투해 들어왔다는 걸 알고 있을 것이다. 즉 둘은 보복에 대한 걱정을 진지하게 해야 하는 상황이고, 그래서 신원을 노출시키지 않을 작정이라고 한다.

이들의 침투 방법은 여전히 유효하다고 보이기 때문에(즉 킴은 물론 관련 조직들이 아직 방비를 하지 못하고 있는 상황으로 추정된다) 둘은 같은 방법으로 더 많은 컴퓨터에 침투해 들어감으로써 지금보다 더 많은 정보를 해커들로부터 캐낼 수 있을 것이라고 보고 있다. 그래서 공격 방법은 미공개로 남겨두기로 결정했다고 한다. 참고로 둘이 킴의 컴퓨터에 드나든 것은 약 4개월 정도였다고 테크크런치와의 인터뷰에서 세이버는 밝혔다.

여기에 더해 세이버와 사이보그는 자신들의 ‘해커를 해킹하는 행위’가 아직까지 불법으로 취급된다는 걸 알고 있다며, 그런 이유로도 신원과 해킹 방법을 감춰두겠다고 언급했다. 다만 자신들이 킴의 컴퓨터에서 훔쳐낸 데이터는, 앞으로 많은 기업들이 킴을 보다 효과적으로 탐지하고 침투를 막는 데 유용할 것 같아 공개했다고 한다. 그런 의미에서 자신들을 화이트햇 해커라기보다 ‘핵티비스트’로 규정하고 있다는 것도 눈에 띈다.

💡

여기서 잠깐!
화이트햇 해커는 취약점 발견 및 해결 등 주로 기술적 문제 해결을 위해 움직이는 부류이고, 핵티비스트는 주로 정치와 이념과 관련된 목적을 달성하기 위해 해킹 기술을 활용하는 부류이다. 전자는 ‘선한 목적’을 추구하고, 후자는 ‘대의명분’을 추구한다는 차이점이 존재한다. 물론 ‘선하다’는 것과 ‘대의명분’이라는 것은 다분히 주관적 개념이며, 따라서 화이트햇 해킹이든 핵티비스트 활동이든, 여러 논란이 수반되기도 한다.

이들이 추구한 ‘대의’는 전 세계 수많은 방어자들이 조금 더 북한발 해킹 공격에 날카롭게 대응할 수 있게 되는 것과, 북한 해커들(혹은 북한을 돕는 해커들)의 작업 난이도가 올라가는 것이다. 그들은 테크크런치와의 인터뷰를 통해 킴을 위시로 한 APT 조직들이 “너무나 잘못된 목적을 위해 해킹 공격을 감행하고 있다”며 “우리가 하는 일이 불법이더라도, 공격자들의 앞날을 방해하는 게 더 중요하다고 생각했다”고 말하기도 했다.

둘은 북한 정권에 대한 반감도 드러냈다. “북한 지도자는 자국민을 노예로 만들고 있는데, 해커들은 그런 북한 지도자의 독재 체제를 오히려 강화시키고 있다”고 표현한 것이다. “(해커로서 가진) 뛰어난 지식과 실력을 사람들을 해치는 데 사용한다는 걸 모르고 있을 정도로 세뇌당했을 것”이라고도 말했다. 이 때문에 세이버와 사이보그는 ‘킴’과의 접촉을 시도조차 하지 않았다고 한다. 대신 킴이 노리고 있던 한국과 대만 기업들에는 연락해 상황을 알렸다고 한다. 이는 핵티비스트라기보다 화이트햇 해커에 가까운 행동이다.

인터뷰의 의미
세이버와 사이보그는 ‘킴’이라는 해커가 확보한 피해자의 정보들에 대해서는 큰 언급이 없었다. 이들이 데이터를 공개한 목적은 한국 정부 기관과 일부 기업들이 털렸다는 걸 알리는 게 아니라 “공격자의 전술과 기술을 전체 공개 함으로써 방어에 도움을 주는 것”이었기 때문이다. 이는 데이터가 처음 공개된 때부터 테크크런치 인터뷰에까지 일관적으로 주장되어지는 내용이다. 일관된 거짓말일까?

둘이 최초 공개한 8.9GB의 데이터에 대한 분석이 여기 저기서 독립적으로 이어지고 있는 가운데, 데이터가 가짜라거나, 별 의미가 없다거나(일명 ‘가비지(garbage)’), 유효 기간이 다 지났다는 얘기가 아직 어디서도 나오고 있지 않다는 것에 주목해야 한다. 보통 이목을 끌기 위해 데이터를 덤핑하는 경우, 해당 데이터가 가비지라는 것이 분석가들에 의해 금방 밝혀지기 때문이다. 수주가 지났는데도 부정적 언급이 어디서도 나오지 않는다는 건, 세이버와 사이보그가 주목을 받기 위해 데이터를 유출한 게 아니라는 쪽에 무게를 싣는다.

추가 데이터 공개 가능성이 남아 있음 역시 눈여겨볼 부분이다. 이들은 자신들의 해킹 기법을 공개하지 않으면서 “더 많은 해커들의 컴퓨터에 침투할 것”임을 밝혔다. 이를 통해 어떤 정보를 더 확보할지 예측할 수는 없으나, “해킹 기술을 좋은 데 쓰지 않는 것”에 대한 분개심을 드러낸 만큼, 자신들이 판단했을 때 “잘못된 것”이 발견될 경우, 세상에 알릴 것으로 보인다. 그런 과정에서 피해자의 어떤 정보가 도난당했는지도 의도치 않게 공개될 수 있는데, 이는 북한 해커들의 주요 표적인 한국 기관과 기업들에 좋지 않은 소식이다.

하지만 그런 홍역을 치르더라도, 둘이 계속해서 공개하는 정보를 통해 미래에 있을 ‘킴’의 공격에 보다 효과적으로 대응할 수 있게 된다면, 추가 데이터 공개는 ‘좋지 않은 소식’이 아니라 오히려 희소식으로 변할 수 있다. 사고 소식은 원래 그러라고 세상에 퍼지는 것이기도 하다.