최근 정부 기관과 국내 주요 통신사를 겨냥한 대규모 해킹 사건의 배후가 북한 해커조직 ‘김수키(Kimsuky)’가 아닌 중국 세력일 가능성이 크다는 분석이 나왔다.
고려대학교 정보보호대학원은 22일 서울 안암캠퍼스에서 기자간담회를 열고, 앞서 미국 보안 전문지 *프랙 매거진(Phrack Magazine)*이 북한 해커 조직의 공격으로 추정했던 사건에 대한 정밀 분석 결과를 발표했다.
김휘강 고려대 정보보호대학원 교수는 “공격 패턴과 행태를 보면 북한보다는 중국 해킹 그룹, 혹은 이들과 밀접한 조직의 소행일 가능성이 높다”며 “공격 대상으로 삼은 IP와 도메인에 대만 관련 주소가 포함돼 있고, 중국에서 개발된 도구를 브라우저에 상시 탑재해 사용한 흔적이 단서가 된다”고 설명했다.
정부·통신사 내부망 침투 확인
이번 공격은 단순 외부 침입을 넘어 정부 부처와 통신사의 내부망까지 뚫은 사실이 확인됐다. 행정안전부의 전자서명(GPKI) 인증서 소스코드, 외교부 내부 메일 서버 소스코드, 통일부와 해양수산부의 온나라 서비스 관련 문서 등이 유출된 것으로 전해졌다.
통신사 역시 피해가 확인됐다. LG유플러스 내부망에서 해킹 흔적이 발견됐으며, KT에서도 인증서 유출 정황이 확인됐다. 다만 KT의 경우 개발자 관리 부실 가능성도 제기돼 해킹 피해로 단정하기는 어렵다는 분석이 병행됐다.
피싱 공격까지 동반
네이버, 카카오, 연세대 이메일 사용자를 대상으로 한 피싱 공격 로그도 확인됐다. 검찰, 방첩사령부, 한국지역정보개발원 등 200여 개 기관·기업 계정에서 피싱 메일 생성 기록이 포착된 것으로 알려졌다. 김 교수는 “해커 그룹의 작업자 PC 한 대가 외부에 노출되면서 확보된 데이터셋”이라며 “아직 공개되지 않은 기관들도 추가 피해를 입었을 가능성이 크다”고 말했다.
보안 대응 체계 강화 촉구
김 교수는 우리 사회의 보안 대응 수준을 근본적으로 재점검해야 한다고 강조했다. 그는 “민간 기업에서도 최근까지 내부 민감 시스템에 접근한 정황이 확인됐다”며 “국가 지원 해커들의 공격 수법을 탐지할 수 있는 고도화된 투자가 필요하다”고 지적했다. 또 “정부 기관 역시 예산 문제로 보안을 후순위에 둘 것이 아니라 자동화 시스템 구축, 전문 모의해킹 업체와의 협업 등을 통해 정밀 진단을 상시적으로 수행해야 한다”고 당부했다.
답글 남기기