대만 보안기업... “韓 정부·통신사 대규모 해킹 배후 中 연계 가능성 커”

디지털뉴스팀 | 2025-08-28

[SOH] 최근 한국 정부 기관 여러 곳과 통신사에 대한 동시다발적인 해킹이 발생한 데 대해, 중국 배후 집단의 공격일 가능성이 크다는 분석이 나왔다.

25일 ‘보안뉴스’는 대만 보안기업 팀T5(TeamT5) 보고서 ‘대한민국 군과 정부 기관 대상 피싱 공격’(Phishing Campaigns Against South Korea’s Military and Government Entities)을 인용, 행안부, 외교부, 방첩사 등 한국 정부 기관 및 통신사를 해킹한 공격자는 중국 연계 집단 ‘SLIME68’과 밀접해 보인다고 보도했다.

팀T5는 앞서 SK텔레콤 유심 해킹 사태를 예견한바 있다. 업체는 공격자의 해킹 수법을 근거로 이 같이 분석했다.

SLIME68은 ‘UNC5221’라는 이름으로도 알려진 중국 연계 해킹 집단이다. UNC5221은 최근 고려대학교 정보보호대학원도 이번 정부 해킹 사건의 공격자로 ‘APT41‘과 함께 지목한 바 있다.

SLIME68은 2024년 12월부터 ‘스폰’(SPAWN) 악성코드군을 사용해 이반티(Ivanti·미국 IT 기업) VPN의 취약점을 광범위하게 악용하면서 악명을 떨쳐왔다. 한국 뿐 아니라 대만 IT 산업을 정찰하고, 일본에서도 보안 기기들을 스캔하는 등의 공격 이력이 있다.

공격자는 여러 개의 피싱 사이트를 운영해 한국 군과 정부 기관의 자격 증명을 탈취하고, 이반티 취약점을 악용하고 오픈 소스 해킹 도구를 사용했다. 공격에는 중국 연계 위협 공격자가 사용하는 원격 접근 트로이목마(RAT)도 이용됐다.

팀T5는 한국의 군 기관 및 정부 기관을 대상으로 한 이 피싱 공격이 적어도 올해 1월부터 시작된 것으로 분석했다. 여러 피싱 사이트를 이용해 표적의 자격 증명을 훔쳤으며, 피싱 사이트들은 오픈 소스 피싱 키트인 ‘Cipherishing’을 이용해 만들어졌을 가능성이 높다.

리버스 프록시를 이용한 공격으로 다중인증(MFA)을 우회할 수 있도록 했으며, 한국 외교부 침투를 위해 웹메일 서비스의 취약점을 노렸을 수도 있다는 분석이다.

■ “北 행태와 달라... 공격자, 간체 사용”

팀T5 관계자는 “공격자들이 사용한 도구들은 중국의 지능형 지속 공격(APT) 그룹들이 오래 사용해온 것들”이라며 “공격자의 검색 기록 등으로 미루어보면 북한 공격자에게는 흔치 않은 행동들”이라고 밝히며 북한보다는 중국 배후에 무게를 실었다.

국내 보안 기업 S2W도 22일 낸 보고서에서 이번 해킹 배후가 김수키일 가능성은 높지 않다고 밝혔다고 보안뉴스는 전했다.

S2W는 보고서 ‘APT Down: The North Korea Files, 프랙 공개 데이터 분석 및 위협 배후 추적’에서 “이번 해킹의 배후 그룹이 ‘김수키’일 가능성은 높지 않다고 판단되며, 공격자는 중국어 기반 환경에 익숙한 인물로 추정된다”고 했다.

△중국의 대표적 검색 엔진 바이두 등 중국어 기반 플랫폼을 번역 없이 사용하며, △중국어 외 언어는 구글 번역기를 통해 중국어 간체로 번역한 것이 포착됐다는 점 등을 이유로 들었다.

S2W는 이번에 발견된 공격자 파일에서 외교부에서 사용하는 웹메일 솔루션 관련 프로젝트 소스 코드를 다수 발견했다고 밝혔다.

이번 한국 정부기관과 통신사에 대한 해킹은 비영리기관 DDOSecrets(Distributed Denial of Secrets) 사이트에 게시된 보고서 ‘APT Down: The North Korea Files’을 통해 처음 공개됐다.

이 보고서는 7~10일 미국 라스베이거스에서 열린 세계 최고 권위 해킹대회 ‘데프콘 33’ 현장에서 배부된 보안 및 해킹 전문 잡지 ‘프랙’(Phrack)에도 수록됐다.

국가정보원과 한국인터넷진흥원(KISA)는 이 보고서가 공개되기 전 해킹을 미리 인지, 정부 부처들과 기업들에 긴급 대응령을 내린 것으로 알려졌다.

☞해커, 포춘 100대 기업 사용하는 이반티 VPN 취약점 연이어 노려 공격

디지털뉴스팀