“한국 정부와 통신사 해킹, 北 ‘김수키’ 아닌 중국 해커로 추정”

고려대 연구진 발표

‘북한의 지능형 지속 공격(APT Down: The North Korea Files)’ 보고서 일부

한국 정부 부처와 국내 이동통신사를 해킹한 주체가 북한 정찰총국 산하 해커 조직 ‘김수키(Kimsuky)’가 아닌 중국 조직일 가능성이 높다는 국내 연구진의 분석이 나왔다.

고려대 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터는 22일 오후 성북구 고려대 정운오IT교양관에서 이 같은 연구 결과를 발표했다.

연구는 최근 미국 보안 전문지 ‘프랙(Phrack)’에 실린 김수키 추정 해킹 관련 공개 자료를 분석해 이뤄졌다. 연구진은 “공개된 자료만으로는 북한에 의한 공격이라 단정 지을 수 없다”며 “해커 작업 패턴을 종합하면 중국어에 친숙하고 한국어는 익숙하지 않은 중국인일 가능성이 매우 높다”고 밝혔다. 이 조직들의 해킹은 지난해 하반기부터 올해 상반기까지 약 1년에 걸쳐 이뤄졌다고 한다.

이들은 그 근거로 소스 코드에 중국어로 작성된 주석이 포함된 점, 중국 해커그룹들이 그간 즐겨 쓰던 암호화 기법과 유사한 점 등을 제시했다. 또 한국어 문장을 구글 번역 사이트를 통해 중국어로 번역한 뒤 해독한 점, 중국 노동절이나 주말, 단오 등에는 해킹을 하지 않은 점, 여가 시간에 중국 동영상 사이트 에이시펀(AcFun)에 반복적으로 접근한 점 등도 중국 해커 조직에 의한 해킹을 의심하는 이유라고 덧붙였다.

김휘강 고려대 정보보호대학원 교수는 보고회에서 “‘프랙’ 저자들의 추론처럼 중국과 긴밀하게 교류하는 김수키 그룹의 행위일 가능성도 배제할 수는 없으나, 북한의 소행이라고 단정 짓기에는 증거가 미비하다”고 말했다.

분석 결과, LG유플러스와 KT 등 주요 통신사, 그리고 한겨레를 포함한 언론사의 내·외부망이 해커의 침투를 받은 정황이 확인됐다.

또 네이버·카카오·연세대학교 이메일 사용자를 겨냥해 피싱 메일을 생성·발송한 공격 로그도 확인됐다. 검찰, 한국지역정보개발원, 링네트, 방첩사령부, 라온·라온시큐어, 디지털트러스트네트워크, 인비즈넷, 옴니원 등 기관·기업의 이메일 계정 226개를 대상으로 한 피싱 메일 생성 기록도 발견됐다. 다만 연구진은 지난 4월 SK텔레콤 유심 해킹 사태도 이들에 의한 것인지는 알 수 없다고 했다.

김 교수는 우리나라 보안 수준 전반에 대한 점검이 필요하다고 강조했다. 그는 “한국 시스템에 대한 이해도가 높은 해커에 의해 장기간 탐지되지 않은 채 침투가 이어진 사실이 드러났다”며 “기업의 민감한 내부 시스템까지 자유롭게 드나든 정황이 확인된 만큼, 기존의 탐지 체계를 고도화해야 한다”고 했다.

- Copyright ⓒ 조선비즈 & Chosun.com -