“국내 통신사 해킹 주체, 김수키 아닌 중국 해커 추정”…고려대 연구진, 증거 제시

국내 통신사 해킹 사건을 두고 논란이 커지는 가운데, 해커가 북한 소속 ‘김수키’가 아닌 중국 조직일 가능성이 높다는 주장이 제기됐다. 고려대학교 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터는 22일 오후 서울 성북구 정운오IT교양관에서 연구 결과를 내놨다.

이들은 최근 미국 보안 전문지 ‘프랙’에 실린 해킹 관련 자료를 심층 분석한 결과, 해킹 조직의 특성상 “공개된 자료만으론 북한에 의한 공격이라 단정할 수 없다”고 밝혔다. 연구진은 “해커 작업 패턴을 종합하면, 중국어에 익숙하고 한국어는 잘 다루지 않는 중국인 해커일 가능성이 굉장히 높다”고 설명했다.

구체적으로 연구진은 소스 코드에 중국어로 작성된 주석이 존재하는 점, 과거 중국 해커그룹이 단골로 사용했던 해킹 기법과 동일한 도구를 쓴 점을 근거로 제시했다. 또 한국어 문장을 구글 번역기를 이용해 중국어 및 영어로 번역한 정황, 청명절·노동절·단오와 같은 중국 공식 기념일에는 해킹이 이뤄지지 않은 점, 중국 동영상 사이트 ‘에이시펀’(AcFun) 접속 기록 등이 확인됐다고 밝혔다.

아울러 연구진은 “프랙 저자들의 추론대로 중국과 긴밀히 교류하는 김수키의 대리 행위일 가능성도 있지만, 북한 단독 소행의 결정적 증거는 부족하다”고 강조했다. 이에 따라, 중국 해커 또는 김수키와 중국의 협력 가능성 모두를 배제할 수 없는 상황이라는 판단이다.

앞서 ‘프랙’에는 ‘세이버(Saber)’와 ‘사이보그(cyb0rg)’ 두 해커가 김수키로 추정되는 조직이 한국 정부와 통신사 네트워크를 공격했다는 내용을 기고한 바 있다. 이들은 자신들이 김수키 해커가 활용한 컴퓨터를 해킹했다고 주장했다.

정부차원에서는 과학기술정보통신부가 지난 20일 국회에서 국내 통신사들로부터 자료를 제출받아 진상 파악에 나섰다. 관계자는 “관련 의혹에 대해 확인 작업을 진행하고 있다”고 밝혔다.

이날 고려대 연구진은 이달 초 미국에서 개최된 해킹 대회 ‘데프콘 2025’에 배포된 파일과 데이터까지 정밀 분석한 결과라고 전했다. 분석 결과가 학계와 수사기관에 파급될 가능성도 적잖다는 평가가 나온다.

향후 정부는 통신사 해킹 의혹의 실체를 파악하기 위한 추가 조사에 나설 것으로 보인다. 정치권 또한 사이버 보안 강화 대책 논의를 이어갈 전망이다.