북한 정찰총국 산하 해커조직 '김수키(Kimsuky)'가 한국 정부 기관과 통신사를 대상으로 동시다발적인 해킹을 이어온 정황이 포착됐다고 미국 해킹 잡지 프랙(Phrack)이 지난 8일 보도했다.
프랙은 이날 발행한 40주년 기념호에서 '북한의 지능형 지속 공격(APT Down: The North Korea Files)'라는 제목의 보고서를 인용해 이같이 전했다. 미 비영리 단체 디도시크릿츠가 이달 7~10일 샌프란시스코에서 열린 세계 최대 해킹 대회 '데프콘'에서 공개한 이 보고서는 'Saber'와 'cyb0rg'라는 화이트해커가 공동으로 작성했다.
보고서에 따르면 대한민국 행정안전부와 외교부, 국군방첩사령부, 국내 통신사의 내부 시스템 접속 계정·키가 방대한 양으로 저장된 데이터 '덤프(시스템 상태나 데이터 내용을 그대로 떠 저장한 파일)'가 지난 6월 발견됐다.
데이터 덤프는 김수키 소속 해커가 사용한 가상 머신(VM)과 스피어 피싱 공격용으로 사용한 VPS(가상 개인 서버)에서 유출됐다고 보고서는 주장했다. 다크웹에 일부 공개된 덤프 파일을 보면, 공격자가 사용한 백도어와 공격 도구의 소스 코드, 한국 정부 기관에서 탈취한 것으로 보이는 민감 정보 등이 다수 포함됐다. 한국 정부의 주요 이메일과 플랫폼 등도 공개됐다. 공격자가 올해까지도 정부 사이트에 드나들었던 정황도 포착됐다.
국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관을 대상으로 한 로그인 시도와 피싱 기록이 있었던 것으로 나타났다. 행안부의 경우 정부 내부 네트워크 시스템인 '온나라 시스템'이 공격당한 것으로 알려졌고, 외교부는 이메일 플랫폼에 접근한 것으로 확인됐다.
보고서에 따르면 공격자는 국내 통신사에도 접근했다. 한 통신사의 보안 솔루션을 제공하는 회사를 해킹한 뒤 통신사 내부 침투를 시도했고, 또 다른 통신사의 원격 제어 서비스에 대한 인증서와 개인키를 탈취했다.
보고서는 "김수키는 한국 정부, 군, 언론, 외교 기관 등을 상대로 지속적이고 장기적인 사이버 첩보 활동을 수행하고 있다"며 "공격은 정교하게 설계돼 있고, 보안 탐지를 회피하기 위해 지속적으로 인프라와 악성코드를 갱신하고 있어 주의가 필요하다"고 경고했다.