북한 '킴수키' 역해킹, 드러난 선관위 거짓… GPKI 뚫려, 국가 전산망 붕괴

2025년 8월, 세계 최대 해킹대회 DEF CON 33과 해킹 전문 매거진 Phrack을 통해 북한 해킹조직 ‘킴수키(Kimsuky)’의 내부 자료가 처음 공개됐다. 8.9GB에 달하는 이 자료는 대한민국 핵심 정부기관의 침투 피해 정황을 담고 있으며, 특히 선관위 해킹은 그간의 부인·축소 해명을 뒤집는 증거로 은폐 가능성까지 제기된다. GPKI 인증체계 탈취는 정부 행정서비스를 이용하는 전 국민의 개인정보가 북한으로 넘어갔을 가능성을 시사한다. 외교·국방망까지 뚫린 이번 사건은 국가 시스템 무결성 붕괴라는 총체적 위기로, 전면적 진상 규명이 시급하다. <편집자 주>

 

 

• 김영 기자 [한미일보] 등록 2025-08-16

 

2025년 8월 11일, 미국 라스베이거스. DEF CON 33 발표 세션장에 수백 명의 보안 전문가와 해커들이 몰렸다. 무대 스크린에는 ‘APT Down: The North Korea Files’라는 제목이 걸렸고, 닉네임 ‘Saber’와 ‘cyb0rg’가 모습을 드러냈다. 그들은 북한 국영 해킹조직 ‘킴수키’ 소속 해커의 리눅스 워크스테이션과 VPS(가상사설서버)를 해킹해 8.9GB 분량의 내부 자료를 빼냈다고 선언했다.

 

관객석이 술렁이는 가운데, 두 해커는 최신 해킹 잡지 Phrack 72호에 실린 분석 문서를 공개했다. 거기엔 이런 문장이 있었다.

 

“그들은 사이버 전쟁으로 권력자의 주머니를 채우고, 억압을 유지한다. 우리는 그들의 어두운 손을 세상에 보여준다.”

 

8월 14일, 확보된 자료는 국제 내부고발 플랫폼 DDoSecrets를 통해 전 세계에 배포됐다. 그 순간 북한의 사이버 작전 실태뿐 아니라, 대한민국 주요 정부기관의 구체적인 침투 피해가 드러났다.

 

전설적인 해킹 잡지 Phrack 매거진 커버. 홈페이지 캡처

대한민국 핵심기관 해킹 정황

 

유출 자료에는 ▲2021년 4월 선거관리위원회 지역사무소 고위직 이메일 해킹 ▲투개표 시스템 접근 시도 ▲행정안전부·통일부 공인인증서 대량 탈취 ▲외교부 웹메일(Kebi) 서버 전체 소스코드 ▲국군방첩사령부(DCC) 침투 기록 ▲대검찰청 계정·인증키 유출 등이 포함됐다.

 

악성코드 소스코드, 하드코딩된 패스워드(Min2jAcgXeDsdL), VirusTotal에도 없는 신종 악성 바이너리, 암호화폐 해킹과 자금세탁 자료까지 담겨 있었다. 자료에는 평양 시간 기준 오전 9시~오후 5시의 정규 근무 패턴과 중국 해커와의 협업 흔적도 남아 있었다.

 

 

선관위 해킹 — 은폐 가능성

 

그동안 선관위는 “사이버 침투 흔적이 없다”는 입장을 반복해왔다. 그러나 이번 자료에는 선관위 내부망 접근 경로와 투개표 시스템 침투 시도가 구체적으로 기록돼 있다. 

 

만약 선관위가 이 사실을 인지하고도 숨겼다면, 이는 단순한 보안 부실을 넘어 헌정 질서 훼손 행위다. 선관위 은폐 의혹에 대한 철저한 수사와 함께 부정선거 의혹에 대한 국정조사도 함께 요구되는 대목이다.

 

 

GPKI 탈취 — 전자행정의 심장부가 뚫렸다

 

GPKI(행정공인인증서)는 정부24, 세금, 부동산 등기, 여권 발급 등 모든 전자행정의 인증 기반이다. 해커는 공인인증서와 비밀번호를 대량 탈취하고, ‘unikorea123’ 등 해독된 패스워드를 워드리스트로 제작했다.

 

이는 곧 국민 행정정보 전체가 북한으로 넘어갔을 가능성을 의미한다. 신상은 물론 계좌정보까지도 털렸을 가능성도 배제하기 어렵다는 것이 전문가들 지적이다.

 

 

외교·국방망 침투

 

외교부 웹메일 서버 전체 소스코드 유출은 외교 기밀과 대사관 통신을 위협한다. 국군방첩사령부 침투 기록은 군사 첩보망 접근을, 대검찰청 인증키 유출은 수사 기밀 노출 가능성을 시사한다. 

 

군사외교 기밀은 물론 수사 기밀까지 북으로 넘어가고 있었는데도 정부는 모르고 있었다는 끔찍한 현실을 드러낸 충격적 사건이다.

 

 

국제사회의 반응

 

미국 보안매체 TechCrunch는 “국가 해킹조직 내부를 전면 공개한 세계 최초 사례”라고 평가했다. TechRepublic은 중국 해커와의 연계 가능성을 언급했다. 

 

미국 보안전문가들은 “한국 정부 핵심 인증체계가 침해당했다면 이는 단순한 정보유출이 아니라 전자정부 신뢰 기반 붕괴”라며 “동맹국과의 정보 공유와 인증체계 재설계가 필요하다”고 지적했다. 

 

일본 사이버보안센터(JPCERT/CC)는 2024년 3월, 킴수키 그룹이 일본을 대상으로 실행한 피싱 기반 사이버공격을 확인해 공식 경보를 발표했으며, 일본 측에서도 이번 유출된 자료와 유사한 공격 방법에 대한 경각심이 고조되고 있다.

 

국제사회에서는 북한에 대한 사이버제재 확대와 한·미·일 공조 강화 요구가 높아지고 있다.

 

미 국무부가 최근 사이버 안보 분야 경험이 풍부한 존 밀스 예비역 대령을 국무부 사이버·디지털정책 수석부차관보에 임명한 것도 이와 연관이 있을 것이란 주장도 나온다.

 

국가 시스템 무결성의 위기

 

이번 사건은 선관위 해킹으로 인한 선거 신뢰 붕괴, GPKI 탈취로 인한 전자행정 신뢰 붕괴, 외교·군사 침투로 인한 국가안보 붕괴가 한꺼번에 드러난 총체적 위기다. 

 

전면 감사와 국정조사를 통해 진상을 규명하지 않으면, 대한민국은 다음 선거의 공정성과 행정·안보 신뢰를 영영 잃을 수 있다.

 

 

구체적 해킹 실태는 아래 사이트에서 Phrack North Korean Data Dump.pdf 파일 다운로드 

https://sandflysecurity.com/blog/leaked-north-korean-linux-stealth-rootkit-analysis

Leaked North Korean Linux Stealth Rootkit Analysis

 

 

 

 

-------------------------------------------------

김수키 역해킹 보고서 분석… "강제수사 근거 나왔다"

김영 기자 (한미일보) 등록 2025-08-18 16:56:10

 

이번 기사는 미국 라스베이거스에서 열린 DEF CON 33 해킹대회에서 공개된 ‘APT Down: The North Korea Files’ 역해킹 보고서를 중심으로, 대한민국 핵심 기관이 실제로 어떤 방식으로 침투당했는지를 검증한 것입니다. 특히 중앙선거관리위원회 내부망과 투개표 시스템 접근 시도가 구체적으로 기록된 점은 ‘사이버 공격 흔적이 없다’는 선관위의 기존 입장을 정면으로 뒤집습니다. 본지는 정치적 공방을 넘어, 국가 안보와 선거 신뢰성 차원에서 철저한 검증과 책임 규명이 필요하다는 점에서 이 문제를 집중 조명합니다. <편집자 주>

 

북한 해킹조직 ‘김수키’의 내부 문건이 국제 해킹대회에서 공개되면서 대한민국 선거관리위원회가 직격탄을 맞았다.

 

보고서에는 선관위 내부망 접근과 투개표 시스템 해킹 시도 정황이 구체적으로 기록돼 있었기 때문이다. 보고서는 그간 “침투 흔적이 없다”던 선관위의 반복된 해명을 정면으로 부인했다.

 

해당 자료에는 행정안전부·통일부 공인인증서 대량 탈취, 외교부 Kebi 메일 서버 소스코드, 국방부와 국군방첩사령부 침투 기록, 대검찰청 계정·인증키 유출 등이 광범위하게 드러났으며, 특히 선관위 투·개표 시스템 접근 시도가 명시돼 있다. 

 

공개된 악성코드에는 ‘Min2jAcgXeDsdL’과 같은 하드코딩된 비밀번호가 포함돼 있었고, 바이러스토털(VirusTotal)조차 등록되지 않은 신종 바이너리가 발견됐다.

 

사이버 전문가들은 “이 정도 기록이면 선관위가 최소한 사실관계에 대한 변명이라도 내놔야 한다”고 지적했다.

 

2025년 8월, 미국 라스베이거스에서 열린 세계 최대 해킹 컨퍼런스 DEF CON 33. 이 자리에서 공개된 ‘APT Down: The North Korea Files’는 국제 보안 업계와 정치권을 동시에 뒤흔들었다. 

 

미국 해커들이 북한 국영 해킹조직 ‘김수키(Kimsuky)’ 소속 해커의 워크스테이션과 VPS 서버에 침투해 탈취한 내부 문건, 무려 8.9GB에 달하는 자료가 전 세계에 풀린 것이다.

 

문건은 북한의 사이버 공작 실태를 낱낱이 드러냈지만, 한국에 특히 충격을 던진 대목은 중앙선거관리위원회(선관위) 관련 기록이었다. 선관위가 수년간 “사이버 침투 흔적은 없다”며 일축해온 입장과 달리, 이번 자료에는 날짜별 접근 로그, 투·개표 시스템 침투 시도, 그리고 공인인증서 대량 탈취 정황이 구체적으로 기록돼 있었다.

 

총선 직전 집중된 로그 기록

 

분석한 자료에 따르면, 2024년 3월, 22대 총선을 불과 몇 주 앞둔 시점에 선관위 내부망을 겨냥한 반복적 접근 시도가 집중적으로 나타났다. 로그 기록은 서울·경기·인천 등 수도권 선관위 서버에 동시다발적으로 남아 있었으며, 이는 지역 선관위 망이 동시에 흔들렸음을 의미한다.

 

더 주목할 점은 이 시기와 맞물려 행정안전부·통일부의 공인인증서가 대량 탈취된 정황이 발견됐다는 사실이다. 로그 기록과 인증서 유출 시점이 교차한다는 점에서, 단순한 ‘흔적’ 수준을 넘어 실제 선거 관리 시스템을 직접 겨냥했을 가능성이 강하게 제기된다.

 

공인인증서 탈취의 심각성

 

공인인증서는 단순 로그인 수단이 아니다. 선관위 투·개표 관리 서버 접근, 전산자료 위·변조, 선거인 명부 불법 열람 등 핵심 행위의 열쇠로 악용될 수 있다. 행정기관 간 인증 체계가 서로 연동돼 있는 구조적 특성상, 한 부처에서 유출된 인증서가 선관위 시스템에도 곧장 연결될 수 있다는 점은 심각한 보안 허점이다.

 

전문가들은 이를 두고 “선관위 침투는 개별 해킹 사건이 아니라, 정부 전반의 인증 기반을 무력화시키는 국가급 작전”이라며 “특히 총선을 앞두고 발생했다는 점에서 결과 조작 가능성까지 배제할 수 없다”고 경고한다.

 

북·중 합작 해킹 의혹

 

킴수키 내부 자료는 평양 시간 기준 오전 9시~오후 5시 사이에 주로 활동한 정규 근무 패턴을 드러냈다. 이는 북한 해커들이 군인 혹은 공무원처럼 근무 체계화된 방식으로 운영된다는 방증이다.

 

더욱이, 자료 곳곳에는 중국발 IP와 협업 채널이 동시에 등장했다. 일부 로그에서는 구글 번역기를 통한 한국어→중국어 번역 기록까지 발견됐다. 이는 단순 기술 교류를 넘어, 북한과 중국이 선거 관련 작전에 실질적으로 공동 개입했을 가능성을 강하게 뒷받침한다.

 

실제로 일본 사이버보안센터(JPCERT)는 2024년 하반기 유사한 침해 패턴을 포착해 자국 내 사례와 비교·보고한 것으로 알려졌다. 북·중 합작설은 한국 선거 개입 논란을 넘어 동북아 전체의 사이버 안보 이슈로 확산되고 있다.

 

미국 라스베이거스에서 열린 세계 최대 해킹대회 DEF CON 현장 모습. 자물쇠와 소스코드가 겹쳐진 그래픽은 사이버 보안과 해킹 위협을 상징한다. 한미일보 합성

선관위와 정부의 대응

 

그러나 선관위는 여전히 “해킹 흔적은 없다”는 입장을 고수하고 있다. 수년간 반복돼온 이 공식 입장이 이번 기록과 정면으로 충돌한다. 로그와 인증서 탈취 시점이 명백히 드러났음에도 불구하고, 선관위가 이를 은폐했거나 최소한 축소했을 가능성이 강하게 제기된다.

 

정부 역시 뚜렷한 후속 조치를 내놓지 못하고 있다. 하지만 자료 속 선관위 침투 기록은 이미 국제 보안 커뮤니티를 통해 전 세계로 확산된 상태다. 은폐와 부인의 논리가 더 이상 통하지 않는 상황이 된 것이다.

 

강제 수사 불가피

 

현재까지 드러난 정황은 선관위 자체 조사만으로는 해명할 수 없다. 로그 기록, 인증서 탈취 시점, 북·중 합작 정황을 종합하면, 이는 국가 안보 차원의 중대 사건이다.

 

따라서 민간을 포함한 국정원·검찰·경찰이 합동으로 나서 강제 수사와 포렌식 검증을 실시하는 것이 불가피하다. 만약 수사가 지연된다면, 2026년 지방선거와 대선에서도 동일한 취약점이 반복될 수 있다. 선거 안보를 확보하지 못한 채 선거가 치러진다면, 민주주의의 근간이 흔들릴 수밖에 없다.

 

선거 시스템은 민주주의의 심장이다. 그러나 지금 드러난 기록들은 그 심장이 이미 외부의 공격에 노출돼 있었음을 경고한다. “흔적은 곧 위협”이라는 점에서, 이번 킴수키 내부 자료는 단순한 해킹 사례를 넘어 대한민국 선거 안보 체계 전반을 다시 점검해야 한다는 신호탄이다.

 

정치적 이해관계가 아니라, 안보 차원의 접근과 강제 수사만이 유일한 해법이다. 지금 필요한 것은 변명이나 은폐가 아니라, 사실 규명과 책임 추궁이다.

 

타임라인 정리

 

2023.11~12 : 북한 해킹조직 ‘김수키’ 활동 증가, 한국 외교·안보 분야 집중 공격 정황 포착.

2024.04 : 총선 직전, 선관위 내부망 접근 시도 및 투개표 시스템 관련 공격 발생.

2024.06~12 : 중국 해커와의 협업 흔적, 공인인증서·외교부 Kebi 메일 서버·대검 인증키 등 탈취 확인.

2025.08.09 : 라스베이거스 DEF CON 33에서 ‘APT Down: The North Korea Files’ 발표. 김수키 내부 자료 8.9GB 공개.

2025.08 : 역해킹 보고서 분석 결과, 선관위 시스템 침투 및 국가기관 해킹 사실 구체적으로 드러남.