북한 해킹그룹으로 추정되는 김수키(Kimsuky)가 우리나라 정부기관과 통신사들을 공격한 것으로 알려졌다. 특히 이 자료들은 ‘6월 10일경에 회수됐다’는 데이터 내 언급으로 보아 그 이전에 감행된 것으로 추정된다.
해커에 의해, 해커를 위해 만들어진 매거진인 ‘프랙(Phrack)’은 8일 ‘APT Down-The North Korea Files’이라는 제목의 보고서를 공개했다. 이 보고서의 발행인은 ‘Saber’와 ‘cyb0rg’이다. 보고서는 북한 위협 세력의 컴퓨터에서 약 9GB 분량의 데이터가 유출됐다며, 이를 내려받을 수 있는 주소를 함께 알렸다.
문서를 살펴보면 북한 해킹그룹 김수키가 국군방첩사령부, 외교부, 정부 내부 네트워크의 접근 기록을 갖고 있다고 설명하고 있다. 이 같은 내용은 여러 개의 파일로 분류되어 있으며, 첫 번째 파일은 북한 김정은 국방위원장의 Guest VM에서, 두 번째 파일은 김정은 국방위원장의 공개 VPS(Virtual Private Server, 가상사설서버)에서 가져왔다고 밝혔다. 이 파일들은 모두 올해 6월 10일 경에 회수됐다고 덧붙였다.
해당 보고서는 “이 자료에는 김수키의 백도어와 공격도구, 그리고 내부 문서가 다수 포함돼 있다”며 “김수키는 다른 중국 APT(Advanced Persistent Threat, 지능형 지속 공격) 조직과 얼마나 공개적으로 협력하고 그들의 도구와 기술을 공유하는지 알 수 있다”고 설명했다.
해당 파일에는 행정안전부의 경우에는 ‘온나라(Onnara)’ 시스템이 공격당했다는 것, 그리고 A통신사의 원격제어서비스에 대한 인증서와 개인키, B통신사의 비밀번호가 다수 포함됐다는 것도 언급했다. 특히 김수키는 B통신사에 MFA(다중인증) 및 비밀번호 서비스를 제공하는 시큐** 회사를 먼저 해킹한 후 B통신사에 침투했다고 분석했다.
