김석이 데이터 유출로 남한 정부의 목표가 드러나다

북한의 국가 후원 해킹 그룹 Kimsuky가 큰 데이터 유출 사고를 겪었다고 보도되었습니다.

‘Saber’와 ‘cyb0rg’라는 이름의 두 해커가 Kimsuky의 내부 데이터를 훔쳐 공개적으로 유출시켰으며, 이들은 그룹의 정치적 동기와 탐욕을 비판했습니다. 이는 처음으로 BleepingComputer(BC)에서 보도되었습니다.

“김석이야, 너는 해커가 아니야. 너는 당신의 지도자들을 부자로 만들고, 그들의 정치적 의제를 이루기 위해 재정적인 탐욕에 사로잡힌 사람이야,”라고 해커들은 Phrack의 최신호에 게재된 메시지에서 적었다. 이는 BC에서 주목했다.

“너는 다른 사람들의 것을 훔치고 자신들을 우대한다. 너는 자신을 다른 사람들보다 높게 평가한다: 너는 도덕적으로 변태적이다,”라는 메시지가 이어진다.

유출된 데이터는 총 8.9GB로, 분산 거부 서비스(Distributed Denial of Secrets) 웹사이트에 호스팅되어 있으며, Kimsuky의 도구와 알려지지 않은 해킹 캠페인을 드러낼 수 있는 일부 훔친 정보를 노출시킵니다.

BC는 이 데이터 중에는 dcc.mil.kr(국방 대응 정보지휘부), spo.go.kr, 그리고 korea.kr과 같은 대한민국 정부 도메인을 대상으로 한 피싱 로그, 그리고 daum.net, kakao.com, naver.com과 같은 인기 플랫폼이 포함되어 있다고 보도했습니다.

해당 유출 정보는 한국 외교부 이메일 시스템인 ‘케비’의 전체 소스 코드를 포함하며, BC에서 언급한대로 대학 교수 명단과 시민증명서 목록도 포함되어 있습니다.

발견된 도구들에는 회피 기술을 갖춘 피싱 사이트 생성기, 실시간 피싱 키트, 알 수 없는 이진 파일, 코발트 스트라이크 로더와 역쉘과 같은 해킹 유틸리티가 포함되어 있습니다.

게다가, BC는 이 덤프가 의심스러운 GitHub 계정, VPN 구매, 해킹 포럼에 연결된 크롬 브라우징 히스토리를 드러낸다고 말합니다. 대만 정부 및 군사 웹사이트와 내부 SSH 연결에 연결된 활동 흔적이 있습니다.

이런 세부사항들 중 일부는 이전에 알려져 있었지만, 이 유출은 Kimsuky의 도구와 작업을 새로운 방식으로 연결하며, 그들의 인프라를 효과적으로 드러냅니다. 보안 전문가들은 이 침해로 인해 단기적인 중단이 있을 수 있지만 장기적으로는 Kimsuky의 활동을 멈추게 할 가능성은 낮다고 말합니다.

BC는 이 유출의 진위를 확인하기 위해 보안 연구자들에게 접근하려고 노력하고 있다고 말합니다. 새로운 정보가 들어오는 대로 업데이트할 예정입니다.