中코드 쓰고 中명절엔 공격 멈춰… 고려대 연구소 11가지 근거 제시
“中해킹조직 ‘APT41’과 수법 유사”
피해 느는데 보안예산은 반토막… “국가안보와 직결, 충분한 투자를”
정부 주요 전산망이 3년 전부터 해킹 공격을 받아온 사실이 뒤늦게 확인된 가운데, 이번 공격이 중국계 해킹 조직의 소행이라는 국내 연구진 분석이 나왔다. 정부는 “모든 가능성을 열어두고 배후를 추적 중”이라고 밝혔지만, 해외 해킹 세력이 실제로 관여했을 경우 이미 상당한 정부 내부 정보가 외부로 유출됐을 가능성도 배제하기 어렵다는 우려가 나온다.
● 해킹조직, 中 단오절엔 공격 중단
이번 해킹 정황은 올해 8월 8일 미국 해킹 전문지 ‘프랙(Phrack)’이 처음 보도하며 알려졌다. 같은 달 22일 고려대 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터가 발표한 ‘국가지원 해킹그룹 해킹자료 분석 및 시사점’ 보고서에 따르면, 연구진은 심층 분석 결과 이번 공격의 배후가 중국계 조직일 가능성이 크다고 판단했다. 보고서는 실제 공격 코드와 수법을 정밀 분석해 배후를 추정한 결과를 담고 있다.
연구진은 이번 공격이 중국 정부의 지원을 받는 것으로 알려진 해킹 조직 ‘APT41’의 수법과 유사하다고 밝혔다. APT41은 국가 차원의 사이버 첩보 활동과 금전적 해킹을 병행하는 중국계 조직으로, 글로벌 보안업계에서도 가장 활발한 해킹 그룹 중 하나로 꼽힌다.
연구진은 △국문 문서를 중국어로 번역한 기록 △코드 주석에 중국어 사용 △중국 개발 브라우저 확장 도구 활용 △중국 명절인 ‘단오’ 연휴 기간 공격 중단 △중국 동영상 사이트 ‘AcFun’ 반복 접속 기록 △대만 서버 공격 정황 등 11가지 근거를 제시했다. “공격 기법과 작업 패턴을 종합 분석한 결과, 중국어에 익숙하고 한국어에는 능숙하지 않은 중국인 해커일 가능성이 매우 크다”는 설명도 덧붙였다.
이용석 행정안전부 디지털 정부혁신실장이 17일 오전 세종시 정부세종청사 중앙동에서 정부업무관리시스템(온나라) 해킹 대응 관련 내용을 발표하고 있다. 2025.10.17 뉴스1
국가정보원도 “해커가 한글 문서를 중국어로 번역한 흔적과 대만 해킹 시도가 있었다”며 중국계 조직의 개입 가능성을 배제하지 않았다. 다만 “현재까지 해킹 주체를 단정할 기술적 증거는 부족하다”며 “해커의 IP주소 6종과 과거 사고 이력, 공격 방식을 종합 분석 중”이라고 밝혔다.
앞서 미국 ‘프랙’은 해킹 배후로 북한 조직 ‘김수키(Kimsuky)’를 지목했다. 김수키의 과거 공격 수법과 유사하고, △로컬 시스템 환경이 한국어로 설정된 점 △북한 표준시 기준 오전 9시부터 오후 5시까지 활동한 점 등을 근거로 들었다. 이에 따라 일각에서는 북한과 중국 간 협력 가능성도 제기된다.
● 정부 정보 보안 예산은 44.8% 감액
이번 해킹은 2022년 9월 시작됐지만 정부가 이를 인지한 것은 올해 7월이다. 행정안전부와 국가정보원에 따르면 해커들은 공무원 650명의 행정전자서명(GPKI) 인증서와 비밀번호 등을 탈취해 정부 전산망 ‘온나라 시스템’에 접속한 것으로 드러났다.
하지만 해킹이 드러난 뒤 두 달이 지난 현재까지 피해 규모조차 명확히 파악되지 않았다. 일부 부처는 언론 보도 전까지 유출 사실을 인지하지 못했다.
정부의 정보보호 예산은 되레 줄었다. 행안부에 따르면 올해 정보보호 인프라 확충 사업 예산은 199억3300만 원으로, 지난해(361억1140만 원)보다 44.8%(161억 원) 감소했다. 행안부는 “모바일 신분증 구축 예산이 빠지면서 전체 규모가 줄었다”고 해명했지만, ‘정보시스템 소프트웨어 보안체계 강화’ 사업은 전년 대비 30.2% 감소했다. ‘주요 정보통신 기반시설 보호’(―18.3%), ‘사이버 침해사고 예방’(―3.8%), ‘전자정부 정보보호 전문교육’(―10%) 예산도 모두 줄었다.
전문가들은 정부 업무체계 전반의 보안 투자가 확대돼야 한다고 강조한다. 염흥열 순천향대 정보보호학과 교수는 “사이버 보안은 국가 안보와 직결되는 만큼 보안 인프라 확보에 충분한 투자가 필요하다”며 “보안 자료 전용 기기와 저장매체 지급, 보안 장비 최신화 등에 예산을 줄이는 건 바람직하지 않다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “공공 부문이 양질의 보안 인력을 확보할 수 있도록 교육과 투자를 강화해야 한다”고 제언했다.
“中해킹조직 ‘APT41’과 수법 유사”
피해 느는데 보안예산은 반토막… “국가안보와 직결, 충분한 투자를”
● 해킹조직, 中 단오절엔 공격 중단
이번 해킹 정황은 올해 8월 8일 미국 해킹 전문지 ‘프랙(Phrack)’이 처음 보도하며 알려졌다. 같은 달 22일 고려대 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터가 발표한 ‘국가지원 해킹그룹 해킹자료 분석 및 시사점’ 보고서에 따르면, 연구진은 심층 분석 결과 이번 공격의 배후가 중국계 조직일 가능성이 크다고 판단했다. 보고서는 실제 공격 코드와 수법을 정밀 분석해 배후를 추정한 결과를 담고 있다.
연구진은 이번 공격이 중국 정부의 지원을 받는 것으로 알려진 해킹 조직 ‘APT41’의 수법과 유사하다고 밝혔다. APT41은 국가 차원의 사이버 첩보 활동과 금전적 해킹을 병행하는 중국계 조직으로, 글로벌 보안업계에서도 가장 활발한 해킹 그룹 중 하나로 꼽힌다.
연구진은 △국문 문서를 중국어로 번역한 기록 △코드 주석에 중국어 사용 △중국 개발 브라우저 확장 도구 활용 △중국 명절인 ‘단오’ 연휴 기간 공격 중단 △중국 동영상 사이트 ‘AcFun’ 반복 접속 기록 △대만 서버 공격 정황 등 11가지 근거를 제시했다. “공격 기법과 작업 패턴을 종합 분석한 결과, 중국어에 익숙하고 한국어에는 능숙하지 않은 중국인 해커일 가능성이 매우 크다”는 설명도 덧붙였다.
국가정보원도 “해커가 한글 문서를 중국어로 번역한 흔적과 대만 해킹 시도가 있었다”며 중국계 조직의 개입 가능성을 배제하지 않았다. 다만 “현재까지 해킹 주체를 단정할 기술적 증거는 부족하다”며 “해커의 IP주소 6종과 과거 사고 이력, 공격 방식을 종합 분석 중”이라고 밝혔다.
앞서 미국 ‘프랙’은 해킹 배후로 북한 조직 ‘김수키(Kimsuky)’를 지목했다. 김수키의 과거 공격 수법과 유사하고, △로컬 시스템 환경이 한국어로 설정된 점 △북한 표준시 기준 오전 9시부터 오후 5시까지 활동한 점 등을 근거로 들었다. 이에 따라 일각에서는 북한과 중국 간 협력 가능성도 제기된다.
● 정부 정보 보안 예산은 44.8% 감액
이번 해킹은 2022년 9월 시작됐지만 정부가 이를 인지한 것은 올해 7월이다. 행정안전부와 국가정보원에 따르면 해커들은 공무원 650명의 행정전자서명(GPKI) 인증서와 비밀번호 등을 탈취해 정부 전산망 ‘온나라 시스템’에 접속한 것으로 드러났다.
하지만 해킹이 드러난 뒤 두 달이 지난 현재까지 피해 규모조차 명확히 파악되지 않았다. 일부 부처는 언론 보도 전까지 유출 사실을 인지하지 못했다.
전문가들은 정부 업무체계 전반의 보안 투자가 확대돼야 한다고 강조한다. 염흥열 순천향대 정보보호학과 교수는 “사이버 보안은 국가 안보와 직결되는 만큼 보안 인프라 확보에 충분한 투자가 필요하다”며 “보안 자료 전용 기기와 저장매체 지급, 보안 장비 최신화 등에 예산을 줄이는 건 바람직하지 않다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “공공 부문이 양질의 보안 인력을 확보할 수 있도록 교육과 투자를 강화해야 한다”고 제언했다.
댓글목록
등록된 댓글이 없습니다.