![보안 전문가들은 이번 행정망 해킹 사태와 관련해 북한이 아닌 중국 소행으로 추정하고 있다. 해당 이미지는 기사 내용과 무관합니다. [ⓒ 픽사베이]](https://imgnews.pstatic.net/image/138/2025/10/18/0002207191_002_20251018070009145.jpg?type=w860)
[디지털데일리 최민지기자] 8월8일 미국 해커잡지 '프랙(Phrack)'에서 공개한 해킹 정황이 사실로 드러났다.
국가정보원과 행정안전부는 프랙 보고서가 발표된 지 2개월 이상 지난 시점인 지난 17일 해커가 정부업무시스템 '온나라시스템'에 접속해 정부 자료를 열람한 점을 인정했다. 650명 인증서 파일 탈취가 이뤄졌고, 행정전자서명(GPKI) 인증서 키와 비밀번호 등이 포함됐다.
앞서 프랙 보고서는 행안부뿐 아니라 외교부·통일부·해양수산부 등 정부부처 시스템 해킹이 이뤄졌다는 의혹을 제기했다. 검찰·방첩사령부에 피싱 메일을 보내 정찰 활동을 한 점도 포착했다.
보고서는 해킹범을 북한 국가배후 해커 조직 '김수키'로 지목했지만, 전문가들은 북한보다 중국쪽 해킹 가능성에 무게를 기울이고 있다.
프랙 보고서를 분석한 고려대학교 정보보호대학원은 지난 8월22일 "해커는 북한 사람이 아닌 중국인으로 추정한다"고 밝혔다. 공격 수단 등을 미뤄봤을 때, 중국 국가 배후 해킹 조직 UNC5221 또는 UNC5337과 관련성이 높다. 맨디언트 보고서에 따르면 UNC5221은 UNC5337과 동일하다고 판단된다.
고려대 정보보호대학원이 작성한 관련 보고서는 "중국 국적 사람이 작성한 것으로 추정되는 오래된 게시글을 참고해 소스코드를 작성해, 중국과 깊은 관련이 있는 것으로 추정된다"며 "익스플로잇 작성·배포 담당자, 익스플로잇을 사용한 공격자 모두 중국어에 능통할 확률이 매우 높다"고 설명했다.
해킹 공격 관련 소스코드에 중국어 주석이 포함됐으며, 과거 중국 UNC5221 그룹이 취약점 공격 등 과거 활용한 수법과 동일한 점도 확인됐다. 해커가 사용한 크롬브라우저 확장도구에 중국에서 개발한 도구를 사용하고 있었다. 이뿐 아니라 대만도 공격 대상으로 삼았다.
특히 주말과 중국 공휴일인 단오 연휴기간에는 사이버침해 활동이 이뤄지지 않았다. 일과 시간 전후엔 중국 동영상 커뮤니티 사이에 접속한 기록도 다수 발견됐다. 웹브라우저 방문 기록을 보면 해커는 크롬 브라우저를 사용해 해킹 관련 중국 사이트에 접속하거나, 한국어 문장을 중국어 혹은 영어로 번역했다.
보안업계 관계자는 "중국과 교류하는 김수키 행위 가능성을 배제할 수 없다고 하나, 북한과 관련할 만한 결정적 단서가 없다"며 "중국어로 소스코드를 작성하고, 중국어 폰트를 쓰고, 중국식 한자 표현들이 있다. 단정하기는 어렵지만 정황상 중국 소행으로 보인다"고 강조했다.
이어 "중국에서 한국을 해킹한 건 어제 오늘 일이 아닌 오랜 기간 이뤄져 왔다"며 "국가 배후 해킹 조직은 한국뿐 아니라 각 국가 정보를 수집하는 활동을 주요 업무로 삼고 있다"고 덧붙였다.
이날 국정원은 "현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라며 "다만 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐다. 모든 가능성을 열고 해외 정보협력기관과 국내외 보안업체와 협력해 공격 배후를 추적하고 있다"고 전했다.
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
