 |
'Saber'와 'cyb0rg'가 만든 북한 해커 침투 보고서 일부 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
'세이버'(Saber)와 '사이보그'(cyb0rg)라는 이름의 해커는 자신들이 북한 해커의 컴퓨터에 침투했다며 그 내용을 사이버보안 전자잡지 '프랙'(Phrack) 최신호에 실었습니다.
이들 해커는 자신들이 북한 정찰총국 산하 해커조직인 '김수키' 소속 해커의 컴퓨터를 해킹했으며 김(Kim)으로 알려진 해커가 한국 정부 네트워크와 기업 여러 곳을 해킹한 증거를 찾았다고 주장했습니다.
해킹됐거나 해킹이 시도된 명단에는 방첩사와 대검찰청, 외교부 등 정부사이트와 함께 다음·카카오, 네이버가 포함됐습니다.
이들은 증거로 피싱에 사용된 이메일 주소와 '김수키'가 사용한 해킹 도구, 내부 매뉴얼, 비밀번호 등 데이터를 제시했습니다.
해커들이 밝힌 자료에 따르면 북한 김수키는 방첩사로 꾸민 피싱 사이트를 제작해 아이디와 비밀번호 유출을 시도했으며 로그인 시도 뒤 실제 사이트의 로그인 오류 페이지로 연결해 피싱을 알아채기 어렵게 만들었습니다.
이어 IP 블랙리스트를 통해 보안업체 IP를 차단하는 방식으로 탐지를 피해왔고 악성코드와 백도어를 활용한 것으로 나타났습니다.
해커들은 이를 통해 김수키가 외교부 이메일 플랫폼 소스코드와 국방부 방첩사 관련 계정정보를 탈취했으며 정부의 특정 계정 접근에 필요한 자격 증명서가 포함된 대학교수들의 인증서도 탈취한 것으로 확인했다고 주장했습니다.
이와관련 두 해커는 '김'을 북한 해커로 특정할 수 있었던 것은 파일 설정과 과거 '김수키'것으로 알려진 도메인 등 단서와 흔적 때문이라고 설명했습니다.
다만 해커들은 보고서를 통해 '김수키는 중국인?'이라는 질문을 던지며 이번 공격 주체가 온전히 북한 소행이 아닐 수 있다는 내용도 담았습니다.
이들은 김수키가 구글 번역을 사용해 한국어를 간체 중국어로 번역한 점, 우리나라 단오같은 중국 공휴일인 '드래곤 보트 페스티벌(Dragon Boat Festival, 5월 31일~6월2일)에는 일을 하지 않은 점 등을 들며 중국과도 관련이 있어 보인다고 짚었습니다.
이한주 기자
JTBC의 모든 콘텐트(기사)는 저작권법의 보호를 받은바, 무단 전재, 복사, 배포 등을 금합니다.
Copyright by JTBC All Rights Reserved.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
