
□ 개요
2025년 8월, 美 비영리단체 DDoSecrets가 북한 해커 서버에서 탈취한 약 8.9GB 분량의 데이터와 보고서를 공개했다. 해당 자료는 유명 해킹잡지 Phrack 40주년 기념호에서 **‘APT Down: The North Korea Files’**로 최초 소개되었으며, 한국 정부·민간·언론·통신·암호화폐 분야를 아우르는 광범위한 침해 정황이 드러났다.
분석 결과, 북한 해킹조직 **김수키(Kimsuky)**가 핵심 배후로 지목되었으나, 중국 APT 그룹과의 협업 정황 또한 다수 발견되었다.
□ 사고내용 요약
1. 관련 그룹 : 북한 김수키(Kimsuky) 추정, 중국 APT 연계 가능성
2. 공격유형 : 피싱·백도어·취약점 악용·AiTM(Adversary-in-the-Middle) 공격
3. 피해 범위
- 정부기관 : 행안부, 외교부(Kebi메일), 방첩사, 대검찰청, 선관위, DCC 등
- 민간 : 네이버·다음·카카오 계정 탈취, 언론사(한겨레신문 위장) 표적 공격
- 통신 : KT·LGU+ 내부 접근 흔적
- 암호화폐 : 해킹 및 자금세탁 정황
4. 사용 공격 코드
- Tomcat Kernel Backdoor(하드코딩 PW)
- Ivanti RootRot 취약점 백도어
- Spawn Chimera 백도어
- Private Cobalt Strike Beacon
- 피싱 사이트 자동 생성 툴(generator.php)
5. 특이사항
- GPKI 인증 시스템 완전 침투
- 중국어 번역 로그·중국 공휴일 작업 중단 등 중국 연계 정황
- 평양 시간 기준 오전 9시~오후 5시 근무 패턴
□ 해킹대응 타임라인
- 2024년~2025년 초 : 정부기관·민간 대상 장기 침투 및 정보 수집
- 2025년 8월 초 : DDoSecrets, 약 8.9GB 덤프 파일 및 분석 보고서 공개
- 2025년 8월 : Phrack, DEF CON 33 발표 자료와 함께 상세 분석 게재
- 2025년 8월~현재 : 한국 정부, 침해 경로 및 자료 검증 착수 / 미국, 대북 사이버정책 강화 발표
□ 홈페이지·포털 접속 및 피싱 페이지 사례
- 외교부 Kebi메일 로그인 페이지 위장 피싱 사이트
- 네이버·다음·카카오 계정 탈취용 AiTM 중계 페이지
- 언론사 로고를 활용한 악성 파일 배포 페이지
□ 미국의 비영리 단체 ‘디도시크릿츠’(DDoSecrets) APT 보고서 공개

※ DDoSecrets(Distributed Denial of Secrets)
: 위키리크스(WikiLeaks)와 비슷한 성격을 가진 비영리 데이터 공개 단체
1. 개요
- 설립: 2018년경, 미국과 유럽 기반의 활동가·기자·해커 출신들이 참여
-목적: 정부, 기업, 기관의 비밀 문서나 데이터(특히 내부고발·해킹으로 확보된 자료)를 검열 없이 공개
-운영 방식: 자체 웹사이트와 토르(Tor) 기반 다크웹 사이트를 통해 데이터셋 배포
2. 주요 특징
- 해킹·유출 자료 공개: 해킹 그룹이나 내부고발자로부터 입수한 자료를 원본 그대로 공유
- 데이터셋 규모: 수 GB~수 TB 단위의 대규모 아카이브 제공
-검열 회피: 다크웹, 분산 저장 네트워크, 해외 서버를 활용해 차단 회피
-저널리즘 협력: 일부 데이터는 언론사와 협력해 분석·보도
3. 대표 사례
-BlueLeaks (2020): 미국 경찰 관련 내부 데이터 269GB 공개
-Parler 데이터 유출: 2021년 미국 의사당 난입 사건 당시 소셜미디어 Parler의 데이터 공개
-북한 해킹 자료(2024): 북한 해커 서버에서 탈취한 약 8.9GB 데이터와 분석 보고서 공개
→ Phrack 잡지 “APT Down: The North Korea Files”로 소개








□ 대응내역
- 한국 정부 : 관계기관 합동 분석팀 구성, 피해 기관 침투 경로 추적
- 미국 정부 : 대북 제재 확대 및 사이버 공격 대응 정책 강화
- 민간 보안업계 : Tomcat 백도어, RootRot 악성코드, 피싱 툴 분석 IOC 배포
- 통신사 : 의심 IP 및 인증서 유효성 점검 강화
□ 재발방지대책(권고사항)
1. 기술적 조치
- 정부·민간·통신·금융기관 공통 취약점 점검(특히 GPKI·웹서버·메일서버)
- 취약점 악용 차단(WAF, IPS, EDR)과 웹쉘 탐지 강화
- 중요 인증·암호화키 관리 강화, 키 외부 유출 방지
- 폐쇄망·내부망 접근 제어 로깅 및 비인가 접근 차단
2. 관리적 조치
- 표적 피싱 대응 훈련 주기화
- 보안 패치 SLA 단축(고위험 취약점 24시간 이내 조치)
- 정부·민간·통신사 간 위협 인텔리전스 공유 체계 확립
- 사고 대응 매뉴얼에 다국가 협력 대응 시나리오 포함
□ 관련기사(출처)
감사합니다.
| [다올이앤씨] 랜섬웨어 조직 ‘퀼린’ 공격으로 설계도·임직원 개인정보 400GB 유출_2025년 08월 (2) | 2025.08.21 |
|---|---|
| [웰컴금융그룹(웰릭스에프앤아이대부)] 랜섬웨어 공격으로 내부 자료 1.02TB 유출 의혹_2025년 08월 (1) | 2025.08.19 |
| [예스24] 두 달 만에 또 랜섬웨어 공격으로 서비스 전면 중단_2025년 08월 (3) | 2025.08.11 |
| [지우병원] 랜섬웨어 공격으로 환자 개인정보 유출…다크웹 판매 정황_2025년 8월 (4) | 2025.08.10 |
| [과기정통부·NIA AI허브] AI 학습용 데이터셋에서 국민 개인정보 6년간 노출_2025년 08월 (2) | 2025.08.10 |