2025년 8월 미국 라스베가스에서 열린 Defcon33에서는 국내 보안업계에 경종을 울릴 큰 거 한방이 공개된다는 소문이 나돌았다. 보통 컨퍼런스에서 화이트해커가 발표를 하는 것이 상례여서 여러 제목을 훑어 봤지만 특별히 크리티컬한 것이 눈에 띄지 않았다. 그런데 오프라인으로 전해진 Phrack 매거진 72호가 공개된 한국시간 8월 6일 밤 11시에 보안 관계자들은 바빠지기 시작했다. 일부 업체들은 미리 예견하고 있던 터였지만 실제 어디까지가 공개될 지에 대해 촉각을 곤두세우고 있었다.
밝혀진 내용은 충격적이었다. Saber와 Cyborg 공동 작성자는 해커의 터미널에 접근하는데 성공하여 터미널과 연결된 가상서버들에 보관되어 있는 “장물”들을 확보해 공개했다. 방첩사가 언급되고, 외무부 메일 소스가 나오는 가 하면 온나라시스템에 접속하는 GPKI 인증서가 탈취된 정황이 나타났다. 그동안 어느 국내 화이트해커도 공개하지 못했던 일대 사건인 셈이었다. 상대방 (피해자) 해커가 확실하지 않지만 킴수키의 “KIM”이라 명명하고 잡지 편집자들은 일러스트레이터를 시켜 아예 북한 최고지도자 얼굴을 삽화로 추가하기도 했다.
해커의 저장소를 털어서 일반에게 공개한 행위를 어떻게 볼 것인가? 피해 당사자들은 당연히 회사 레퓨테이션이 심각히 실추되고 이어서 과징금까지 내야하는 상황에 내몰릴텐데, 이들 집필자들에게 접촉해서 어떻게 해서는 외부에 공개되는 것을 막아야하는 것이 분명한 책무이었을 것이다. 이 같은 실랑이 중에 국내 기관과 협의가 이뤄지지 않아 급기야 일반 공개에 이르게 되었다는 것이다. 이들 피해기관과 공개한 집필자들간의 문제는 일단 접어두고 공개된 공격도구들을 살펴보는 것이 긴급한 과제가 되었다.
국내 보안업계는 발빠르게 분석작업을 시작했고 그 결과를 서둘러 공개하기에 이르렀다. S2W, A사, 엔키가 웹을 통해 일부 혹은 전부를 공개하고 고려대는 외부 공개 행사를 갖기도 했다. 분석에 따르면, 여러 다른 공격그룹에서 사용되었던 툴들이 한 곳에서 발견되고 실제로 이 도구들이 한국 정부기관을 침입하는데 사용되었다는 것이 명백해졌다. 특히 리눅스 커널 모듈 루트킷 2종과 Ivanti 취약점 악용 공격 제어툴, 스폰키메라 코드들이 발견되었는데, 툴 제작의 수준이 높아 국내의 방패 역할을 맡은 보안 기업들과 Offensive를 다루는 그룹들에게 많은 힌트를 준 것 같다.
그럼 화이트해커의 침입을 당한 피해 해커는 누구인가? 이 답변은 이미 킴수키 그룹이 아닌 이들과 동조하는 다른 특정국가의 국가지원 해커로 좁혀들었다. 그들이 입수한 정보를 다크웹에 게시해서 금전적 목적을 달성하려하지 않고 차근차근 인테릴젼스를 수집하여 빌드업하고 있는 그룹, 즉 국가지원 해커그룹임에 틀림없다고 보는 것이다. 이 그룹은 TeamT5에서 추적중이던 그룹과 일치하였고 사용한 C2도 동일했다. 당초 “KIM”이라고 지목받았던 해커는 북한이 아닌 다른 특정 국가인 듯 하다고 발표자가 내용을 정정했다. (Phrack 집필자들과는 그간 교신을 통해서 어느 정도를 입수했기 때문에, 추가 정보가 필요한 기관과에게는 연락이 오면 정보공유가 가능하다. sales@psymont.com)
뜻하지 않게 피해자가 되어 버린 공공기관들은 한동안 이런 사실 자체가 확산되지 않기를 바랐을 지 모르지만, 불과 석 달도 되지 않아 국회로 부터 호된 질책을 받아야 했다. 민간기업에 과도한 징계를 하는 국가기관의 피해사실이 훨씬 위중함이 이번에 밝혀짐에 따라, 급기야는 대통령실에서 전국 3만여 기관에 대한 전수 보안 감사보고서를 제출하라는 비 현실적인 사건이 생기기도 하였다. 아이러니하게도 가장 큰 피해자인 국가정보자원관리원이 화재로 인해 서버의 손실까지 당하는 이변을 겪게 되어, 국가기관에 대한 보안 점검 보다는 기본적인 데이타센터 운영관리가 더 중요한 관리포인트가 되어 버려서 IT 업계는 일대 전환기를 맞이한 셈이 되었다.
그런데, 점검을 시작한다하더라도 수만대의 리눅스 서버를 현재의 에이젼트를 통해 해킹 여부를 감지할 수 있을까? 국가기관외에 통신사나 포탈등 수만개의 서버, 클라우드 워크로드, 네트웍디바이스를 어떻게 탐지할 것인가? 형식적으로는 리얼타임 EDR을 통해 실시간으로 서버를 탐지하고 있다고 하지만 물리적으로도 이런 방식은 가능하지가 않다. 이미 현재의 보안 솔루션으로 감지를 하지 못한 채 2, 3년 동안 해킹에 노출되어 있다고 알려진 지금, 다른 방법의 검진시스템이 필요한 것이다. 이 부분에 대해서 PSYMONT는 DailySecu와 공동으로 리눅스 루트킷 탐지에 일가견이 있는 Sandfly 솔루션을 웨비나를 통해 공개한 바 있다.
글로벌 사이버 보안 벤더들의 장비가 수없이 취약점에 노출되어 있는 데다, 국내에서 개발된 보안프로그램들은 취약점 탐지에서부터 제한적이다. 미국과 별도로 중국과 러시아는 자체 취약점 데이타베이스를 운영하고 있다. 물론 우리나라도 시도는 하고 있지만 걸음마 수준이다. 이제 통제불가능한 수준이 되어 버린 소프트웨어 프로그램, 네트웍 운영체제 취약점 관리에 대한 실질적인 투자와 관심이 필요하다.
보안 장비 도입보다 빈틈없는 운영이 더 절실한 상황에서 사이버위협인텔리젼스 활용도 다시 고려해야할 때이다. 국가지원해커를 운영하고 있는 대표적인 나라의 정보는 그 대상을 십여년 이상 추적해온 고급의 정보입수가 필요하다. CTI 입수 원천도 다변화시키고 충분한 투자를 고려해야할 것이다.
Phrack 공개를 계기로 국내 보안 업계 및 관계기관들이 포괄적인 정책방향과 제대로 된 관리 포인트를 잡아가기를 기대해 본다.