[대한민국 털렸다] 한국 정부 해킹, 최소 올해 1월 시작…“범인 中 ‘SLIME68’ 연계”

입력 : 2025-08-25 16:38

3줄 요약
1. 팀T5 보고서 ‘대한민국 군과 정부 기관 대상 피싱 공격’ 입수
2. “최소 2025년 1월 공격 시작…중국 ‘SLIME68’과 밀접”
3. S2W “공격자 업무 환경 비춰 중국어 기반 환경에 익숙한 인물 추정”

[보안뉴스 강현주 기자] 최근 대한민국 정부와 통신사를 해킹한 범인은 북한 ‘김수키’보다는 중국 배후 집단일 가능성에 힘이 실리고 있으며, 최소 올해 1월부터 공격을 시작했다는 분석이 나왔다.

25일 국내외 위협 인텔리전스(CTI) 기업들은 이번 사건 공격자는 중국 연계 집단일 것이라는 분석을 이구동성으로 내놓고 있다.

대만 보안 기업 팀T5(TeamT5) 분석에 따르면, 이번 행안부, 외교부, 방첩사 등 한국 정부 기관 및 통신사를 해킹한 공격자는 최소 올해 1월부터 공격을 시작한 것으로 보인다. 공격자는 중국 연계 집단 ‘SLIME68’과 밀접해 보인다.


팀T5 “북한 행태와 달라...대만과 일본도 공격”
팀T5는 SK텔레콤 유심 해킹 사태를 예견한 것으로 국내 인지도가 더욱 높아진 대만 CTI 기업이다.

<보안뉴스>가 단독 입수한 이 회사 ‘대한민국 군과 정부 기관 대상 피싱 공격’(Phishing Campaigns Against South Korea’s Military and Government Entities) 보고서에 따르면, 이번 공격의 범인을 특정 중국 해킹 그룹으로 단정짓기는 어렵다. 다만, 공격 수법을 분석해보면 공격자는 ‘SLIME68’과 밀접한 연관이 있을 수 있다.

SLIME68은 ‘UNC5221’라는 이름으로도 알려진 중국 연계 해킹 집단이다. UNC5221은 최근 고려대학교 정보보호대학원도 이번 정부 해킹 사건의 공격자로 ‘APT41‘과 함께 지목한 바 있다.

SLIME68은 2024년 12월부터 ‘스폰’(SPAWN) 악성코드군을 사용해 세계적으로 이반티 취약점을 광범위하게 악용하면서 악명을 떨쳐왔다. 한국 뿐 아니라 대만 IT 산업을 정찰하고, 일본에서도 보안 기기들을 스캔하는 등의 공격 이력이 있다.

공격자는 여러 개의 피싱 사이트를 운영하여 한국 군과 정부 기관의 자격 증명을 탈취했다. 이반티 취약점을 악용하고 오픈 소스 해킹 도구를 사용했다. 중국 연계 위협 공격자가 사용하는 원격 접근 트로이목마(RAT)도 이용했다.

팀T5는 한국의 군 기관 및 정부 기관을 대상으로 한 이 피싱 공격이 적어도 올해 1월부터 시작된 것으로 분석했다. 여러 피싱 사이트를 이용해 표적의 자격 증명을 훔쳤으며, 피싱 사이트들은 오픈 소스 피싱 키트 ‘Cipherishing’을 이용해 만들어졌을 가능성이 높다.

리버스 프록시를 이용한 공격으로 다중인증(MFA)을 우회할 수 있도록 했으며, 한국 외교부 침투를 위해 웹메일 서비스의 취약점을 노렸을 수도 있다는 분석이다.

팀T5 관계자는 “공격자들이 사용한 도구들은 중국의 지능형 지속 공격(APT) 그룹들이 오래 사용해온 것들”이라며 “공격자의 검색 기록 등으로 미루어보면 북한 공격자에게는 흔치 않은 행동들”이라고 밝히며 북한보다는 중국 배후에 무게를 실었다.

S2W “김수키 가능성 높지 않아”
국내 보안 기업 S2W도 22일 ‘APT Down: The North Korea Files, 프랙 공개 데이터 분석 및 위협 배후 추적 ‘이라는 보고서를 냈다.

이 보고서에 따르면 이번 해킹의 배후 그룹이 ‘김수키’일 가능성은 높지 않다고 판단되며, 공격자는 중국어 기반 환경에 익숙한 인물로 추정된다.

중국의 대표적 검색 엔진 바이두 등 중국어 기반 플랫폼을 번역 없이 사용하며, 중국어 외 언어는 구글 번역기를 통해 중국어 간체로 번역한 것이 포착됐다는 설명이다.

S2W도 이번에 발견된 공격자의 파일에서 외교부에서 사용하는 웹메일 솔루션 관련 프로젝트 소스 코드를 다수 발견했다고 밝혔다.

한편, 이번 한국 정부 및 통신사 해킹 사건이 처음 공개된 것은 한국 시간 8일 밤 비영리기관 DDOSecrets(Distributed Denial of Secrets) 사이트에 게시된 ‘APT Down: The North Korea Files’라는 제목의 보고서를 통해서다. 이 보고서는 7~10일 미국 라스베이거스에서 열린 세계 최고 권위 해킹대회 ‘데프콘 33’ 현장에서 배부된 보안 및 해킹 전문 잡지 ‘프랙’(Phrack)에도 수록됐다.

9일 <보안뉴스> 보도 이후 해외 언론 다크리딩, 테크크런치 등을 통해 외신 보도가 이어지며 김수키 추정 해커의 한국 해킹 사실이 세계에 알려졌다. 다만 국가정보원과 한국인터넷진흥원(KISA)는 이 보고서가 공개되기 전 해킹을 미리 인지해 정부 부처들과 기업들에 긴급 대응령을 내렸다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

강현주기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  애플 영업비밀 훔쳐 오포로 이직한 중국인 직...

• 2

  BTS 정국부터 재벌총수까지 털었다…380억...

• 3

  [ISEC 2025 미리보기] 쿼드마이너, ...

• 4

  소버린 로그인 위한 핵심 포인트는? ‘패스워...

• 5

  [ISEC 2025 미리보기] 아리아카, U...

• 1

  SGI서울보증 랜섬웨어 푼 금보원 침해위협분...

• 2

  “지식재산처 설립, 더 이상 미뤄선 안 돼”...

• 3

  [미리보는 IPCON 2025] IP에 AI...

• 4

  [이슈칼럼] 소버린 AI보다 시급한 ‘소버린...

• 5

  [IP포토] 특허청 차장, 한국평가데이터 방...

• 1

  시스코, Secure FMC에서 심각한 보안...

• 2

  사내 공용 NAS가 랜섬웨어 주요 침투 경로...

• 3

  [이원태의 글로벌 AI안보 전략-3] 한국의...

• 4

  [대한민국 털렸다] ‘김수키’에 무엇을, 어...

• 5

  [2025 SOAR 솔루션 리포트] 보안전문...