‘APT 다운: 노스코리아 파일즈’의 충격적 실체

1985년부터 해커 문화의 상징처럼 자리 잡아온 전자잡지 프랙(Phrack)이 다시 한번 국제사회를 놀라게 했다.

‘세이버(Saber)’와 ‘사이버버그(cyb0rg)’라는 두 해커가 북한 정찰총국 소속 해킹 조직 킴수키(Kimsuky)의 실제 작전 흔적을 담은 내부 자료를 폭로한 것이다. 이 폭로 파일의 제목은 “APT Down: The North Korea Files”. 이름 그대로 북한의 간첩 활동이 적나라하게 드러난 디지털 문서다.

한국 국방·외교 기밀이 노린 주요 표적

해커들이 확보한 기록에 따르면 북한은 한국의 국방부 방첩사령부(dcc.mil.kr)와 외교부 이메일 서버(mofa.go.kr)를 집중적으로 공격했다.

방첩사령부 공격 방식은 매우 교묘했다. 북한 해커들은 실제 기관 홈페이지와 똑같이 생긴 가짜 로그인 페이지를 만들었다. 피해자가 자신의 아이디와 비밀번호를 입력하면 북한 측 서버로 그대로 전송됐다. 이후 피해자는 진짜 사이트의 오류 페이지로 돌려보내졌다. 이용자 입장에서는 단순히 로그인에 실패한 것처럼 보였지만, 사실상 계정 정보가 이미 탈취된 것이다.

외교부 사례는 더 심각했다. 해커들은 외교부 내부 이메일 시스템 전체 소스코드를 압축한 “mofa.go.kr.7z” 파일을 확보했다. 이 자료에는 2025년 4월 최신 코드까지 포함돼 있어 북한이 최근까지도 깊숙이 접근했음을 보여준다. 단순한 계정 해킹을 넘어, 기관 시스템 전체를 재구성하고 장기적으로 뒷문을 심으려 했던 것으로 보인다.

‘김’이라 불린 북한 해커의 흔적

프랙 매거진은 한 북한 해커를 “김(KIM)”이라 지칭했다. 그의 컴퓨터에서 나온 흔적은 놀라울 정도로 구체적이었다.

구글 계정 기록: VPN 결제에 사용된 내역이 남아 있었고, 대만 정부와 군사 사이트 접속 기록도 발견됐다. 코발트 스트라이크(Cobalt Strike): 유명한 해킹 도구인 코발트 스트라이크 로더와 역쉘(reverse shell) 스크립트를 사용한 정황이 드러났다. 이 도구는 원격에서 정부망을 장악하고 내부를 자유롭게 돌아다니는 데 활용된다. VM웨어 사용: 윈도우와 리눅스 간에 파일을 전송하며, 정부 네트워크 침투용 모듈을 옮긴 기록도 포착됐다. 검색 습관: 크롬 기록에는 GitHub 해킹 프로젝트, 중국·러시아 해킹 커뮤니티 방문 내역이 남아 있었다. 심지어 오류 메시지를 중국어로 번역해 분석하는 모습까지 확인됐다.

이러한 흔적은 북한이 단순히 해킹 기술을 보유한 수준이 아니라, 실제 작전을 수행하는 과정에서 개인 단위 해커의 생활 패턴까지 드러날 만큼 체계적으로 움직이고 있음을 보여준다.

피싱 툴 ‘제너레이터’의 정체

킴수키가 사용한 도구 중 하나는 ‘제너레이터(generator.php)’라는 피싱 관리 툴이다.

이 툴은 원격에서 피싱 공격을 조종할 수 있도록 설계돼 있었다. 관리자가 쿠키 값만 입력하면 비밀번호 없이 접근이 가능했고, 구글이나 트렌드마이크로 같은 보안업체를 차단하는 블랙리스트 기능까지 탑재돼 있었다.

결국 피해자는 자신이 공격당했다는 사실을 깨닫기 어렵다. 로그인 시도 후 단순히 에러 메시지가 뜨는 것으로 보이기 때문이다. 이런 방식으로 한국 군·정부 관계자들의 계정이 대거 탈취됐을 가능성이 높다.

흥미로운 점은 북한 해커의 활동 무대가 한국에만 머물지 않았다는 것이다. 대만 정부·군 사이트 접속 기록, 해외 VPN 서비스 결제 내역 등은 북한이 아시아 전역을 대상으로 작전을 벌이고 있음을 시사한다. 이는 단순한 해킹 범죄가 아니라, 국가 차원의 장기적 정보전·심리전의 일환으로 볼 수 있다.

국제사회에 던지는 경고

이번 폭로는 북한의 사이버 작전이 얼마나 정교하고 집요한지를 다시 한번 보여준다. 프랙 매거진이 공개한 자료는 전체 작전의 일부에 불과하다. 세이버와 사이버버그는 북한 간첩망의 단면만을 드러냈지만, 이미 그 파장은 상당하다.

한국은 물론 국제사회 전체가 사이버 안보 협력과 방어 전략을 강화해야 한다는 경고로 읽힌다. AI, 클라우드, 5G 인프라가 확산되는 지금, 북한 해커들의 작전은 더 넓고 깊게 확장될 수 있기 때문이다.

프랙 매거진이 다시 알려준 교훈은 명확하다. 사이버 공간은 이미 새로운 전쟁터라는 사실이다. 총 대신 악성코드가, 간첩 대신 피싱 메일이 쓰이고 있다.

북한이 만든 환영(幻影) 같은 로그인 페이지 뒤에서 흘러간 수많은 비밀번호는 더 이상 단순한 데이터가 아니다. 그것은 한 국가의 안보와 사회의 기반을 뒤흔드는 무기가 되고 있다.

앞으로 공개될 추가 폭로가 어떤 파장을 가져올지는 알 수 없다. 다만 분명한 것은, 이번 사건이 한국과 국제사회에 “사이버 보안은 곧 국가 안보”라는 냉혹한 현실을 다시 새겨주었다는 점이다.

[ⓒ META-X. 무단전재-재배포 금지]