최근 DEF CON에서 배포된 Phrack 40주년 특별호가 전 세계 보안 커뮤니티를 발칵 뒤집어놨습니다.
이유는 바로, 해커 두 명(Saber, cyb0rg)이 국가 지원 해커로 추정되는 ‘KIM’이라는 인물을 해킹해
내부 문서·공격 로그·툴·계정정보까지 통째로 빼낸 사건이 공개됐기 때문이죠.
이건 작년 중국 iSoon 유출 사건 이후 가장 큰 규모의 국가급 위협 행위자 데이터 유출로 평가됩니다.
이번 후속편에서는 Phrack PDF 원문 분석 + 인터넷에 공개된 추가 정보를 종합해,
‘KIM’이 실제로 어떤 공격을 했는지, 어떤 도구를 썼는지,
그리고 이번 사건이 CTI(사이버 위협 인텔리전스)에 어떤 의미를 가지는지 상세히 살펴봅니다.
🕵️♂️ 1. ‘KIM’의 정체 – 북한? 중국?
공개 직후 Phrack 글에서는 ‘KIM’을 북한 연계 Kimsuky 그룹으로 추정했습니다. 근거로는:
- 피싱 툴이 과거 Kimsuky가 사용한 것과 동일
- 사용한 도메인이 과거 Kimsuky 인프라와 유사
- 2022년 Kimsuky 관련 IP와 연결된 흔적
하지만 추가 분석에서 다른 단서들이 나왔습니다:
- 브라우징 기록과 번역 습관이 중국어 사용자와 일치
- 중국 해킹 포럼 활동, 대만 정부 사이트 정찰 흔적
- Ivanti 취약점 백도어 클라이언트 코드 등, 중국 APT(UNC5221 등)가 쓰던 툴 소지
💡 결론: 중국 국적 해커가 북한의 TTP를 흉내내거나 협력 관계를 가장한 것일 가능성이 높습니다.
TeamT5, Trend Micro 모두 이 결론에 동의합니다.
🎯 2. 실제 공격 사례 – 한국 정부기관 표적
PDF 원문에는 KIM이 수행한 구체적인 타겟 공격 로그가 남아 있습니다.
📌 2.1 국방부 방첩사령부(DCC) 피싱
- 공격자는 dcc.mil.kr과 유사한 피싱 사이트를 제작
- 피해자에게 링크 전송 → 로그인 입력 유도
- 입력 후 실제 DCC 사이트의 로그인 오류 페이지로 리디렉션
- 피해자는 공격 사실을 인지하기 어려움
기술적 포인트
- config.php에 Trend Micro, Google 등 보안사 IP 차단 목록 포함
- generator.php 원격 관리자 페이지 → 쿠키만 세팅하면 무비밀번호 접속 가능
- 공격용 HTML/JS에 철저한 로그 수집 코드 포함
📌 2.2 외교부 메일 서버 코드 탈취
- mofa.go.kr.7z 파일 내부에 외교부 이메일 플랫폼 전체 소스 코드 존재
- 디렉토리 구조:
- kebi-web-mail/, kebi-web-admin/, kebi-core/ 등
- pom.xml과 다수의 Java 기반 모듈
- 이 소스 코드로 외교부 내부 시스템 이해 & 추가 침투 가능성 ↑
🛠 3. 탈취된 주요 툴과 악성코드
KIM의 VMware 폴더, Chrome 캐시, Bash 히스토리에서 다음과 같은 도구들이 발견됐습니다:
- Cobalt Strike 로더 + Powershell 리버스 셸
- Onnara 프록시 모듈 (한국 정부망 내부로의 프록시 연결)
- TomCat 원격 커널 백도어
- Ivanti Control 백도어 (RootRot)
- Bushfire 익스플로잇
- Android Toybox 변형 버전
또한 Black.x64.tar.gz, voS9AyMZ.tar.gz 같은 VirusTotal에 없는 미공개 악성 바이너리 존재 → 제로데이 가능성 있음
📂 4. KIM의 작업 습관 & OPSEC
- Chrome 방문 기록: freebuf.com, xaker.ru, 대만 정부 사이트
- Google Translate로 대만어→중국어 변환
- PureVPN, ZoogVPN 결제 기록 (Google Pay)
- 로컬 네트워크 SSH 접속 흔적
- Windows ↔ Linux 간 드래그앤드롭 파일 이동
➡ 보안 연구자 평가: “OPSEC(작전 보안) 수준이 낮다. 현재 클린 상태가 아님”
⚠️ 5. 이번 사건의 의미
- 실제 공격 도구·코드·로그가 외부에 공개된 드문 사례
- CTI 팀들이 APT 인프라, TTP, 악성코드 샘플을 역추적 가능
- 북한·중국 APT 간의 관계 또는 ‘위장 협력’ 의혹 제기
- 향후 한국·대만·일본 방위 관련 표적 공격 대응력 강화 가능
🔒 6. 대응 및 보안 권고
- 정부기관·방산업체: 유사 피싱 페이지 모니터링 강화
- 취약점 방어: Ivanti, Tomcat, Cobalt Strike 관련 IOC 즉시 차단
- OPSEC 교육: 내부자/위협 행위자 행태 분석 기반 보안 훈련
- 국제 공조: 대만·일본·한국 CTI 협력 필요
💬 이번 유출은 단순한 해킹 사건이 아니라, 국가급 해커의 ‘비공개 교본’을 입수한 것과 같은 의미를 가집니다.
앞으로 추가 공개될 Phrack 자료와 온라인 데이터 덤프에서 더 많은 인프라 정보와 공격 코드가 나올 수 있어,
보안 업계는 긴장을 늦추지 않고 있습니다.
'CyberSecurity > Cyber Incidents📛' 카테고리의 다른 글
| ⚠️ SAP 넷위버(NetWeaver) 취약점 익스플로잇, ShinyHunters가 공개하다 🚨 (1) | 2025.08.20 |
|---|---|
| ⚡ 러시아 해커, 폴란드 수력 발전소 다시 공격… ICS/OT 보안 비상 🚨 (1) | 2025.08.20 |
| 🕵️♂️ 중국? 북한? 미스터리한 국가급 해커의 내부 자료가 유출됐다! (8) | 2025.08.11 |
| 📱 한국인 노린 250개 이상 스파이앱 대량 유포! – 내 스마트폰, 혹시 감시 당하고 있진 않을까? (7) | 2025.08.01 |
| 🚨 Salt Typhoon, 캐나다 통신사 해킹! 패치됐던 취약점 재활용한 중국 APT 공격 (2) | 2025.06.25 |