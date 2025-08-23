김휘영 고려대 정보보호대학원 해킹대응기술연구실 교수가 지난 22일 오후 성북구 고려대 정운오IT교양관에서 열린 ‘김수키 추정 해커그룹 해킹 분석 보고회’에서 분석 결과를 발표하고 있다. 연합뉴스

국내 이동통신사와 정부 기관 등을 겨냥해 지난해부터 올해 6월까지 이어진 해킹 공격은 북한의 정찰총국 산하 ‘김수키’가 아닌 중국 조직에 의해 이뤄졌을 가능성이 높다는 국내 연구진 분석이 나왔다.

23일 고려대 정보보호대학원 해킹대응연구실과 디지털포렌식연구센터에 따르면 전날 서울 성북구 고려대 정운오IT교양관에서 이같은 연구 결과를 발표했다. 미국의 보안 전문지 ‘프랙(Phrack)’에 실린 김수키 추정 해킹 관련 공개자료 분석을 토대로 연구는 진행됐다.

연구진은 소스 코드에 중국어로 작성된 주석이 포함된 점과 중국 해커그룹들이 즐겨 써온 해킹 수법과 동일한 공격 도구를 사용한 점 등을 근거로 들었다. 이들은 “공개된 자료만으로는 북한의 공격이라 단정 지을 수 없다”며 “해커 작업 패턴을 종합하면 중국어에 친숙하고, 한국어는 익숙하지 않은 중국인일 가능성이 높다”고 분석했다.

아울러 중국 청명절이나 노동절, 단오 등에는 해킹 공격이 없었고 여가 시간에 중국 동영상 사이트 ‘에이시펀(AcFun)’에 반복 접근한 점 등도 연구진은 주목했다. 이러한 내용들을 바탕으로 연구진은 중국 정부 후원을 받는 것으로 알려진 해킹 조직 ‘APT41’이나 ‘UNC3887’ 등과의 연관성 등을 제시했다.

해킹 작업용 리눅스 시스템에서는 한국표준시(UTC+9)로 설정했지만, 피싱 사이트 서버 코드(PHP)는 ‘UTC+8’로 설정한 점 등도 근거로 언급됐다. ‘UTC+8’을 표준시간으로 쓰는 국가 중에 중국이 포함됐다는 게 연구진의 설명이다.

연구진은 “‘프랙’ 저자들의 추론처럼 중국과 긴밀하게 교류하는 김수키 그룹의 행위일 가능성도 배제할 수는 없다”면서도, “북한 소행이라고 단정 짓기에는 증거가 미비하다”고 강조했다. 김수키 그룹 안에서 중국인을 용병처럼 쓰는 가설 등도 있지만 사실 여부는 확인되지 않고 있다고 연구진은 덧붙였다.

연구진이 살펴본 자료에는 행정안전부와 외교부, 통일부, 해양수산부 등 정부 기관을 비롯해 통신사와 언론사 등 민간 기업에 대한 해킹 공격 흔적이 담겼다. 해킹 기간은 지난해부터 올해 6월까지이며 장기간 공격이 이뤄진 것으로 파악됐다. 해킹 공격을 입은 정부 기관과 민간 기업에 책임을 물어야 한다는 식의 일부 해석에 연구진은 ‘장기간 공격을 버텨낸 건 그만큼 보안 솔루션이 방어를 해냈다는 방증’이라며 그러한 해석은 경계해야 한다고 강조했다.

앞서 ‘세이버(Saber)’와 ‘사이보그'(cyb0rg)’라는 두 해커는 자신들이 김수키 해커가 사용한 것으로 추정되는 컴퓨터를 해킹한 결과 김수키가 한국 정부와 통신사를 공격한 사실을 확인했다고 ‘프랙’에 실었다. 과학기술정보통신부는 지난 20일 국회에서 통신사들로부터 자료를 제출받아 이들이 제기한 의혹을 파악해보겠다고 밝혔다.

