상세 컨텐츠

본문 제목

[대한민국 정부기관] DDoSecrets 공개 자료로 드러난 김수키·중국 APT 연계 공격_2025년 08월

본문

대한민국 행정기관 등 8.9GB 해킹 서버 덤프 공개…GPKI 침투·정부·민간 동시 공격, Tomcat 백도어·AiTM·암호화폐 탈취 정황까지

 

 

  개요  

     2025년 8월, 美 비영리단체 DDoSecrets가 북한 해커 서버에서 탈취한 약 8.9GB 분량의 데이터와 보고서를 공개했다. 해당 자료는 유명 해킹잡지 Phrack 40주년 기념호에서 **‘APT Down: The North Korea Files’**로 최초 소개되었으며, 한국 정부·민간·언론·통신·암호화폐 분야를 아우르는 광범위한 침해 정황이 드러났다.
분석 결과, 북한 해킹조직 **김수키(Kimsuky)**가 핵심 배후로 지목되었으나, 중국 APT 그룹과의 협업 정황 또한 다수 발견되었다.

 

  사고내용 요약  

    1. 관련 그룹 : 북한 김수키(Kimsuky) 추정, 중국 APT 연계 가능성
    2. 공격유형 : 피싱·백도어·취약점 악용·AiTM(Adversary-in-the-Middle) 공격

    3. 피해 범위
        - 정부기관 : 행안부, 외교부(Kebi메일), 방첩사, 대검찰청, 선관위, DCC 등
        - 민간 : 네이버·다음·카카오 계정 탈취, 언론사(한겨레신문 위장) 표적 공격
        - 통신 : KT·LGU+ 내부 접근 흔적
        - 암호화폐 : 해킹 및 자금세탁 정황
    4. 사용 공격 코드
        - Tomcat Kernel Backdoor(하드코딩 PW)
        - Ivanti RootRot 취약점 백도어
        - Spawn Chimera 백도어
        - Private Cobalt Strike Beacon
        - 피싱 사이트 자동 생성 툴(generator.php)

    5. 특이사항
       - GPKI 인증 시스템 완전 침투
       - 중국어 번역 로그·중국 공휴일 작업 중단 등 중국 연계 정황
       - 평양 시간 기준 오전 9시~오후 5시 근무 패턴


  해킹대응 타임라인  

    -  2024년~2025년 초 : 정부기관·민간 대상 장기 침투 및 정보 수집
    -  2025년 8월 초 : DDoSecrets, 약 8.9GB 덤프 파일 및 분석 보고서 공개
    -  2025년 8월 : Phrack, DEF CON 33 발표 자료와 함께 상세 분석 게재
    -  2025년 8월~현재 : 한국 정부, 침해 경로 및 자료 검증 착수 / 미국, 대북 사이버정책 강화 발표

 

  홈페이지·포털 접속 및 피싱 페이지 사례  

    -  외교부 Kebi메일 로그인 페이지 위장 피싱 사이트
    -  네이버·다음·카카오 계정 탈취용 AiTM 중계 페이지
    -  언론사 로고를 활용한 악성 파일 배포 페이지

  미국의 비영리 단체 ‘디도시크릿츠’(DDoSecrets) APT 보고서 공개   

더보기

※ DDoSecrets(Distributed Denial of Secrets)  
    : 위키리크스(WikiLeaks)와 비슷한 성격을 가진 비영리 데이터 공개 단체

  1. 개요
     - 설립: 2018년경, 미국과 유럽 기반의 활동가·기자·해커 출신들이 참여
     -목적: 정부, 기업, 기관의 비밀 문서나 데이터(특히 내부고발·해킹으로 확보된 자료)를 검열 없이 공개
     -운영 방식: 자체 웹사이트와 토르(Tor) 기반 다크웹 사이트를 통해 데이터셋 배포

  2. 주요 특징
     - 해킹·유출 자료 공개: 해킹 그룹이나 내부고발자로부터 입수한 자료를 원본 그대로 공유
     - 데이터셋 규모: 수 GB~수 TB 단위의 대규모 아카이브 제공
     -검열 회피: 다크웹, 분산 저장 네트워크, 해외 서버를 활용해 차단 회피
     -저널리즘 협력: 일부 데이터는 언론사와 협력해 분석·보도

  3. 대표 사례
     -BlueLeaks (2020): 미국 경찰 관련 내부 데이터 269GB 공개
     -Parler 데이터 유출: 2021년 미국 의사당 난입 사건 당시 소셜미디어 Parler의 데이터 공개
     -북한 해킹 자료(2024): 북한 해커 서버에서 탈취한 약 8.9GB 데이터와 분석 보고서 공개
         → Phrack 잡지 “APT Down: The North Korea Files”로 소개

DDoSecrets 한국 해킹 보고서 공개 페이지

 

DDoSecrets 한국 해킹 관련 자료(8.9G)

 

방첩사 - 해킹기록 샘플 #1
외교부 - 해킹기록 샘플 #2
온나라플랫폼(내부망) - 해킹기록 샘플 #2

 

토렌트에 공유된 파일 링크

 

김수키 바탕화면으로 추정되는 화면

 

APT Down : The North Korea Files’ 보고서 첫페이지


  대응내역  

    -  한국 정부 : 관계기관 합동 분석팀 구성, 피해 기관 침투 경로 추적
    -  미국 정부 : 대북 제재 확대 및 사이버 공격 대응 정책 강화
    -  민간 보안업계 : Tomcat 백도어, RootRot 악성코드, 피싱 툴 분석 IOC 배포
    -  통신사 : 의심 IP 및 인증서 유효성 점검 강화


 재발방지대책(권고사항)   

    1. 기술적 조치
       -  정부·민간·통신·금융기관 공통 취약점 점검(특히 GPKI·웹서버·메일서버)
       -  취약점 악용 차단(WAF, IPS, EDR)과 웹쉘 탐지 강화
       -  중요 인증·암호화키 관리 강화, 키 외부 유출 방지
       -  폐쇄망·내부망 접근 제어 로깅 및 비인가 접근 차단


    2. 관리적 조치
       -  표적 피싱 대응 훈련 주기화
       -  보안 패치 SLA 단축(고위험 취약점 24시간 이내 조치)
       -  정부·민간·통신사 간 위협 인텔리전스 공유 체계 확립
       -  사고 대응 매뉴얼에 다국가 협력 대응 시나리오 포함


  관련기사(출처)  

 

감사합니다.

관련글 더보기