◎ 개요 및 핵심 발견사항

  • 8월 8일, 미국 비영리 단체 디도시크릿츠(DDoSecrets)가 ‘APT Down–The North Korea Files’라는 제목의 방대한 유출 자료를 전격 공개했습니다. 이 자료는 해커 ‘Saber’와 ‘cyb0rg’가 국가 연계 해킹 조직의 가상 워크스테이션과 VPS(가상 사설 서버)에서 탈취한 약 8.9GB 분량의 데이터로, DEFCON(데프콘) 33 현장에서 배포된 해킹 문화 계간지 ‘Phrack(프랙)’ 40주년 기념호를 통해 처음 소개됐습니다.
  • Phrack Magazine을 통해 발표된 'APT Down: The North Korea Files' 자료는 한국 정부 핵심 기관에 대한 광범위한 침투 흔적을 담고 있습니다.
  • 고려대학교 정보보호대학원 연구팀: 해당 자료를 심층 분석한 결과, 기존 북한 소행 추정과 달리 중국 배후 가능성이 높다는 새로운 견해를 제시했습니다. 이는 해커의 중국 공휴일 준수, 간체 중국어 사용 패턴, 한국표준시 설정 등의 정황 근거에 기반합니다.
  • S2W: GPKI 인증서 대량 탈취 사건으로 공격자 시스템에서 수천 개의 GPKI(정부공개키기반구조) 인증서가 발견되었으며, 이 중 상당수가 통일부 발급 인증서였습니다. 해커는 인증서 비밀번호 크래킹을 위한 Java 프로그램까지 개발하여 체계적인 공격을 수행했다
  • 보안뉴스: 북한이 한국 정부의 전자서명 체계를 무력화시키려는 전략적 공격으로 평가됩니다. 특히 공무원들의 PC를 직접 장악하여 정보를 탈취하는 목적형 공격의 전형적 사례로 분류됩니다.

 

◎ 주요 피해 기관 및 침투 범위

 - 정부기관 피해현황

  • 국군방첩사령부(DCC) 및 대검찰청(SPO): 스피어피싱 공격 로그 다수 발견, 직원 이메일 계정 탈취
  • 외교부: 이메일 플랫폼 시스템 침투, mofa.go.kr 소스코드 탈취
  • 행정안전부: 정부 내부망 '온나라 시스템' 접근 권한 확보
  • 통일부: GPKI 인증서 다수 탈취, 맞춤형 사전 공격 수행

 - 민간 분야 피해

  • KT, LG U+ 등 주요 통신사: 원격제어 서비스 인증서 및 내부 서버 접속 비밀번호 대량 유출
  • 언론사: 한겨레 신문(203.234.192.200) 서버에 SpawnChimera 백도어 설치
  • 네이버: TRANSLATEXT 크롬 확장프로그램을 통한 로그인 정보 탈취

 

◎ 공격 기법 및 악성코드 분석
 - 주요 백도어 및 도구

  > Tomcat(톰캣) 원격 커널 백도어: 특정 TCP 시퀀스·IP-ID 조합을 통해 은밀히 접근, 루트 쉘과 내부망 프록시 제공.

  >  사설 Cobalt Strike(코발트 스트라이크) 비콘: HTTP 기반 C2 통신, 프록시 우회, 대기 시간 기반 은폐 전략 탑재.
  >  Ivanti(이반티) Control ‘RootRot’: Ivanti 취약점을 이용한 지속 제어 백도어.
  >  Bushfire 익스플로잇: Ivanti VPN 제로데이 기반 공격, 중국계 APT(UNC5221)와 코드 유사성 확인.
  >  Android Toybox 변형: 모바일 기기 침투용 모듈화 도구.
  >  Spawn Chimera 백도어: 한겨레신문 서버를 활용한 포트 노킹 방식 침투.

 

◎ 국가 차원 대응방안 및 시사점

 - 고려대 정보보호대학원 제언사항

  • 김휘강 교수는 보고회에서 "중국과 북한 외에도 우리나라를 주 타깃으로 한 국가지원 해킹그룹이 수십 개 이상 확인되며, 망분리나 다중방어 체계가 적용된 곳도 뚫렸다"고 경고했습니다.

 - 보안 강화 방안

  • 지속적 공격표면 관리: 자동화 솔루션을 통한 위협 식별 및 조치 체계 구축
  • EDR/MDR 시스템 도입: 행위기반 이상행위 탐지대응 강화
  • 국가 차원 협업체계: 정부-민간 간 정보공유 및 대응체계 점검
  • 보안 인식 제고: 보안 불감증 해소를 위한 지속적 교육 및 훈련

 

◎ 결론

  • 이번 Phrack Magazine 공개 자료는 한국의 사이버 보안 현실을 적나라하게 보여주는 중대한 사건입니다.
  • 특히 정부 핵심기관부터 민간 통신사, 언론사에 이르는 광범위한 침투는 국가 사이버 보안 체계의 전면적 재검토 필요성을 시사합니다.
  • 무엇보다 이번 사건을 계기로 국가 차원의 종합적 사이버 보안 대책 수립과 지속적인 모니터링 체계 구축이 시급한 상황입니다.
저작자표시 비영리 동일조건 (새창열림)

'IT > News' 카테고리의 다른 글

2025.09.03 삼화콘덴서공업 해킹 및 내부자료 유출 사건 요약  (0) 2025.09.04
2025.08.31 넥슨 블루 아카이브 해킹 사건 정리  (0) 2025.09.03
2025.08.14 롯데카드 해킹 및 개인정보 유출 사고 정리  (0) 2025.09.02
2025.08.16 SFA엔지니어링 랜섬웨어 감염  (1) 2025.08.19
2025.08.18 웰컴금융그룹 계열사 대부업체 웰릭스에프앤아이대부 Qilin 랜섬웨어 감염  (1) 2025.08.18

+ Recent posts

티스토리툴바