사이버 보안 업계에 또 한 번의 빅 뉴스가 터졌습니다.
올해 8월, DEF CON 해킹 컨퍼런스 현장에서 발표된 Phrack 매거진 40주년 특별호에,
정체불명의 해커 2명이 중·북 연계로 추정되는 APT(지능형 지속 위협) 운영자의 내부 데이터를 대거 유출한 사건이 공개된 건데요.
이번 유출 규모와 정보 수준은 작년 중국 보안기업 iSoon 내부 문서 유출 사건과 맞먹는다고 평가됩니다.
📂 무슨 데이터가 유출됐나?
이번 사건의 주인공은 해커 Saber와 cyb0rg.
이 둘은 중국 또는 북한 소속으로 보이는 APT 운영자 1명의
가상 워크스테이션과 가상 사설 서버(VPS)를 해킹했다고 주장했습니다.
Phrack에 따르면, 이번에 공개된 자료는 크게 두 가지입니다.
- VPS 공격 로그
- 한국 국방부 방첩사령부(DCIC), 대검찰청 등 주요 정부기관을 겨냥한 피싱 캠페인 기록
- 서버 접근 로그 및 공격 성공 여부, 명령 실행 내역 포함
- 가상 워크스테이션 데이터
- 2만 건에 달하는 Chrome·Brave 브라우저 방문 기록
- 백도어 운영 매뉴얼, 계정·비밀번호, 이메일 주소
- 다양한 공격 툴 소스코드 및 명령 파일
특히 유출된 툴에는 다음과 같은 고급 해킹 도구들이 포함돼 있었습니다.
- TomCat 원격 커널 백도어
- 비공개 Cobalt Strike Beacon
- Ivanti Control 백도어(RootRot)
- Android Toybox 변형 버전
- Bushfire 취약점 익스플로잇
🎯 유출 자료가 의미하는 것
보안 전문가들은 이 자료가 중국의 사이버 작전 능력을 이해하는 데 큰 도움이 될 것으로 보고 있습니다.
Trend Micro의 Fyodor Yarochkin 연구원은 이렇게 말했습니다.
"이번 자료는 단일 해커가 어느 정도 범위의 타깃을 장악했는지,
어떤 TTP(전술·기술·절차)를 쓰는지, 그리고 일상적인 작전 패턴까지 보여줍니다."
즉, 단순한 툴 유출이 아니라 운영자의 실무 습관과 공격 범위를 엿볼 수 있는 레벨의 정보가 풀린 것이죠.
🕵️♀️ 북한 Kimsuky 소속일까?
이번 사건의 흥미로운 부분 중 하나는, 이 운영자가 북한 연계 해커 그룹 Kimsuky 소속인지에 대한 논쟁입니다.
- Kimsuky 연계 가능성
- 유출된 피싱 킷이 과거 Kimsuky가 사용한 것과 동일
- 사용한 도메인이 Kimsuky 과거 인프라와 철자 한 글자 차이
- 일부 IP 주소가 2022년 Kimsuky 활동에 쓰인 것과 동일
- Kimsuky가 아닐 가능성
- 브라우저 기록, 즐겨찾기, 방문 사이트가 전부 중국어 기반
- Ivanti 취약점 백도어 등 중국 APT(UNC5221)들이 즐겨 쓰는 툴 다수 보유
- 대만 표적 공격 정황, 중국 해킹 포럼 활동 흔적 발견
결론적으로, TeamT5(대만 CTI 기업)와 Trend Micro 모두
"중국 국적 해커이며, 북한과 직접 협력한 증거는 없다"는 분석을 내놓았습니다.
다만 북한식 TTP를 일부 모방하거나 혼선을 주기 위해 위장했을 가능성은 배제하지 않습니다.
🔍 기술적 시사점
유출 자료를 통해 확인된 핵심 TTP는 다음과 같습니다.
- 정교한 피싱 인프라
- 한국, 대만, 일본 등 지정학적 민감 지역 타깃
- 도메인·IP 변조를 통한 추적 회피
- 멀티 플랫폼 공격
- Windows·Linux·Android 모두 공격 가능
- TomCat·Ivanti·Cobalt Strike 등 혼합 활용
- 장기 잠복 및 명령 제어
- C2 서버를 통한 지속적 통제
- 로그·명령 파일을 통해 공격 후 유지 전략 파악 가능
🛡 방어 권고
보안 담당자와 위협 인텔리전스 분석가가 이번 유출에서 배울 수 있는 대응책은 다음과 같습니다.
- 도메인·IP IOC(Indicators of Compromise) 즉시 차단
- 피싱 메일·웹킷 패턴 분석 후 사용자 교육 강화
- Ivanti·TomCat 등 취약 서비스 최신 패치 필수
- 브라우저 확장·저장 데이터 암호화 정책 재검토
- APT 위장 전술 대비 → 단일 국가 TTP로 단정 짓지 말고 다중 시나리오 분석
📌 마무리
이번 사건은 단순 해커 간 해킹(war game)이 아니라,
국가 연계 사이버 작전의 민낯이 공개된 드문 사례입니다.
중국이든 북한이든, 혹은 제3의 플레이어든,
국가급 공격자는 서로의 전술을 흡수·변형·위장하며
위협 인텔리전스 분석을 더 어렵게 만들고 있습니다.
앞으로 보안 업계는 IOC 차단을 넘어,
행위 기반의 탐지와 맥락 분석(Contextual Analysis)을 더 강화해야 할 때입니다. 🔐
'CyberSecurity > Cyber Incidents📛' 카테고리의 다른 글
| ⚡ 러시아 해커, 폴란드 수력 발전소 다시 공격… ICS/OT 보안 비상 🚨 (1) | 2025.08.20 |
|---|---|
| 📂 Phrack에 공개된 ‘KIM’ APT 운영자 해킹 사건 – 내부 데이터와 공격 도구 완전 해부 (4) | 2025.08.12 |
| 📱 한국인 노린 250개 이상 스파이앱 대량 유포! – 내 스마트폰, 혹시 감시 당하고 있진 않을까? (7) | 2025.08.01 |
| 🚨 Salt Typhoon, 캐나다 통신사 해킹! 패치됐던 취약점 재활용한 중국 APT 공격 (2) | 2025.06.25 |
| 💥 중동 사이버전 격화! 35개 친이란 해커조직, 이스라엘 전방위 타격 선언 (1) | 2025.06.22 |