“정부·통신사 해킹, 北 소행 단정 어렵다”…고려대 연구진, 중국 해커 개입 가능성 제기

정부 기관과 국내 이동통신사를 겨냥한 대규모 해킹 공격의 주체를 둘러싸고 논란이 이어지는 가운데, 고려대학교 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터가 “중국 해커 가능성을 배제할 수 없다”는 연구 결과를 내놨다. 북한 ‘김수키’ 조직이 아닌 중국계 해커의 활동일 수 있다는 점을 학술적 분석에 근거해 지적했다.

연구진은 22일 오후 성북구 고려대 정운오IT교양관에서 미국 보안 전문지 ‘프랙’에 실린 지난해부터 올해 6월까지 정부·통신사 해킹 자료들을 분석한 결과를 발표했다. 이 자료에는 행정안전부, 외교부, 통일부, 해양수산부 등 주요 정부 부처는 물론 통신사, 언론사 대상 공격 흔적이 포함됐다. 해킹 행위는 장기간, 다양한 목표를 상대로 이뤄진 것으로 나타났다.

연구진이 주목한 결정적 단서는 해킹 도구의 소스 코드에 기록된 중국어 주석과, 중국 해커들이 자주 사용해온 수법 및 공격 도구의 활용 사례다. 또한 원문 한국어를 구글번역 등을 거쳐 중국어나 영어로 의역한 흔적과 중국 청명절, 단오와 같은 명절 시기에는 공격이 없었던 시점도 결정적 근거로 제시됐다. 연구진은 “중국어에 익숙하고, 한국어는 서툰 개발 흔적이 역력하다”며 “중국 국적 해커 개입 가능성이 높다”고 분석했다.

공격 로그에서는 해커가 리눅스 환경에 능수능란했으며, 일반적인 일반인보다는 중급 내지 고급 시스템 개발 및 해킹 역량을 보유하고 있었던 것으로 평가됐다. 게다가 공격용 시스템의 표준 시간대는 한국(UTC+9), 피싱 서버는 중국이 포함된 UTC+8로 설정돼 있었다. 연구진은 “중국 정부 후원을 받는 해킹 조직인 ‘APT 41’, ‘UNC3887’ 등과의 연관성에도 유의할 필요가 있다”고 지적했다.

일부에서는 북한 정찰총국 산하 공격집단 ‘김수키’의 간접 관여 가능성을 거론해왔다. 이에 대해 김휘영 해킹대응기술연구실 교수는 “김수키 내부에 중국계 용병을 아웃소싱 형태로 쓴 다양한 가설도 존재할 수 있다”면서도, “정확한 팩트가 발견되기 전까지는 자료에서 분석된 기술·방식만 놓고 볼 때 중국 해커의 개입 쪽으로 무게중심이 실린다”고 덧붙였다.

연구진은 공격을 받은 정부기관과 민간기업의 책임론에 경계심도 드러냈다. 김 교수는 “장시간 공격을 지속적으로 방어한 것은 국내 보안 솔루션의 대응 능력을 방증한다”며 “관계 기관 대다수가 신속히 보안 조치를 취했고, 재발 방지 대책까지 마련 중인 것으로 파악된다”고 설명했다. 또한 “책임 추궁 우선 논리에 치중하면 현장의 핵심 정보 공유와 집단적 대응 체계에 차질이 생긴다”며, 정보 보안 의식과 기관 간 협업 체계의 점검 필요성을 강조했다.

이보다 앞서 ‘세이버’와 ‘사이보그’로 알려진 해커들은 ‘프랙’ 지면을 통해 자신들이 김수키 해커가 사용한 컴퓨터 내역을 해킹했고, 이를 통해 정부 및 통신사 해킹 정황을 확인했다고 밝혔다. 과학기술정보통신부도 20일 국회에서 관련 통신사 자료를 수집, 조속한 원인 분석 절차에 들어간 바 있다. 고려대 연구진은 최근 미국에서 개최된 해킹대회 ‘데프콘 2025’ 공개자료도 상세히 검토했다고 덧붙였다.

정치권과 정부 부처는 해킹 주체의 실체 규명 작업과 함께, 정보보안 역량 강화 및 공동 대응 방안 마련에 주력할 것으로 관측된다. 정부는 향후 수사 결과와 국제적 첩보 공유를 바탕으로 지속적인 시스템 점검과 협력 대책 추진에 나설 방침이다.