국내 주요 정부 기관과 기업을 대상으로 한 대규모 해킹 사건의 배후가 북한이 아닌 중국계 해커 집단일 가능성이 제기됐다. 해커들이 사용한 공격 수법과 작업 환경에서 중국어 사용 흔적이 다수 발견됐기 때문이다.
국내 보안 연구진은 22일 발표한 보고서를 통해 최근 행정안전부, 외교부, KT, LG유플러스 등을 공격한 해커 그룹의 배후에 대해 "중국어에 친숙하고 한국어에는 익숙하지 않은 중국인일 가능성이 매우 높다"고 분석했다.
이번 분석은 글로벌 보안 매체인 '프랙 매거진'에 제보된 해킹 관련 데이터를 국내 연구진이 심층 분석한 결과다. 해당 자료에는 지난해부터 올해 6월까지 진행된 해킹 공격의 상세 내역이 포함되어 있었다.
침해 지표를 분석한 결과, 공격자들은 행정안전부의 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부와 해양수산부의 '온나라' 시스템 소스코드 등 중요 정보를 유출한 것으로 확인됐다. 민간 분야에서는 LG유플러스의 통합 패스워드 관리 시스템 파일과 KT의 서버 인증서 등이 유출된 것으로 나타났다.
연구진은 특히 해커들의 작업 방식에서 몇 가지 주목할 만한 특징을 발견했다. 소스 코드 내에 중국어로 작성된 주석이 다수 포함되어 있었고, 한국어 문장을 구글 번역을 통해 중국어나 영어로 번역한 흔적이 확인됐다. 또한 중국의 주요 명절인 청명절, 노동절, 단오期间에는 해킹 활동이 전혀 이루어지지 않은 점도 특징으로 지적됐다.
공격 수법 측면에서도 이들은 중국계 해커 그룹들이 선호하는 도구와 기술을 사용했으며, 여가 시간에는 중국 동영상 사이트인 AcFun에 반복적으로 접속하는 등 중국 내 생활 패턴을 보여주는 증거들이 발견됐다.
다만 연구진은 북한의 관여 가능성을 완전히 배제하지는 않으며, 북한 조직이 중국인 해커를 아웃소싱했을 가능성도 고려해야 한다고 설명했다. 그러나 현재 확보된 기술적 증거들은 중국계 해커의 관여를 더 강력하게 시사한다고 밝혔다.
이번 해킹 사건은 국내 주요 기관들의 보안 취약점을 드러낸 동시에, 향후 보안 대응 체계 개선의 중요성을 재확인시켜 주는 사례가 됐다. 연구진은 "이번에 확보된 데이터는 향후 유사 공격을 예방하는 데 귀중한 자료가 될 것"이라며 "내부망 보안 강화와 적극적인 정보 공유의 중요성"을 강조했다.
댓글목록