지난 10년간(2016~2025년) 한국의 국가 연구기관들은 총 2,776건에 달하는 해킹 시도를 겪었습니다. 이 가운데 한국전자통신연구원(ETRI)은 무려 528건의 공격을 당하며 가장 큰 피해 타깃으로 드러났습니다. 이는 원자력 연구, 첨단 통신, 바이오기술 등 국가 핵심 기술을 다루는 기관들이 외부 위협에 얼마나 취약한지를 보여주는 결과입니다. 특히 SK텔레콤과 KT와 같은 주요 통신사가 최근 대규모 침해 사고를 겪은 것과 맞물려, 국가 안보와 과학기술 인프라 전반에 대한 사이버전 위협이 고조되고 있음을 시사합니다.
한국전자통신연구원(ETRI)의 집중 공격
528건의 공격을 받은 ETRI는 한국의 ICT 연구를 선도하는 기관으로, 5G와 6G 차세대 통신망, 인공지능 기술, 양자컴퓨팅 연구 등 국가 경쟁력과 직결된 프로젝트를 수행하고 있습니다. 따라서 첨단 특허, 반도체 기술, 차세대 통신 관련 연구자료를 탈취하려는 외국 정보기관과 범죄 조직들의 집중 표적이 될 수밖에 없습니다. 공격자들은 Boolean 연산자와 고급 검색 쿼리(property:value, proximity search 등)를 활용해 내부 네트워크 취약점과 연구 데이터베이스를 추적했을 것으로 추정됩니다.
정교한 공격 기법과 위협 요인
단순한 무차별 공격이 아니라, 고도의 정찰 기법과 와일드카드 검색, 내부 네트워크 토폴로지 파악 등 치밀한 방식이 활용되었습니다. 이러한 집요한 공격은 단순 금전 목적을 넘어, 장기적인 정보 수집과 기술 탈취를 목표로 했다는 점에서 전략적 성격을 띱니다. 이는 한국의 연구기관이 국가적 차원의 방어 전략 없이는 장기간에 걸쳐 반복적으로 타깃이 될 수 있음을 의미합니다.
북한 해킹조직 ‘김수키’의 활동
북한 정찰총국 산하 해킹조직인 ‘김수키(Kimsuky)’는 남한 정부기관을 대상으로 한 체계적인 침투 작전을 전개해왔습니다. 이들은 사회공학 기법과 스피어피싱을 결합하여 신뢰할 수 있는 기관 계정을 위장하고, 보안 체계를 교묘히 우회했습니다. 최근에는 가상머신과 VPS 서버를 해킹해 행정안전부 내부 시스템(온-나라), 외교부 이메일, 국방방첩사령부 계정 키 등 민감한 접근 권한을 대거 탈취한 정황이 드러났습니다. 이로써 2025년 현재까지도 북한은 한국 정부망 깊숙이 침투할 수 있는 지속적인 통로를 확보한 셈입니다.
첨단 악성코드 사용
김수키 조직은 Tomcat 커널 백도어, Ivanti VPN 취약점 기반 RootRot 웹셸, Cobalt Strike 프록시 우회 도구 등을 활용하여 장기적으로 시스템에 잠복했습니다. 또한 통신사 보안 솔루션 공급업체를 뚫어 원격제어 서비스 인증서와 개인키를 탈취하는 한편, 주한 유럽 대사관까지 공격해 XenoRAT 악성코드를 심어 키보드 입력, 스크린샷, 웹캠 영상까지 수집했습니다. 이는 북한이 군사·외교 전반에서 다각도의 정보를 확보하기 위한 총체적 작전임을 보여줍니다.
공격 범위와 전략적 목표
김수키의 공격은 단순히 한국 내부의 정부기관에 국한되지 않고, 해외 외교 네트워크와 민간 통신사까지 확대되었습니다. 이러한 광범위한 작전은 외교 정책과 군사 통신, 그리고 핵심 기술을 동시에 겨냥하는 종합적인 정보 수집 전략으로 해석할 수 있습니다. 즉, 북한은 단기적 금전 이득보다 장기적 국가 전략을 뒷받침하는 첩보전 수행에 초점을 맞추고 있는 것입니다.
과학기술사이버안전센터의 대응체계
과학기술사이버안전센터(S&T-SEC)는 한국의 연구 네트워크인 KREONET을 중심으로 4단계 보안 아키텍처를 운영하며, 58개 선진 연구 그룹을 실시간으로 모니터링하고 있습니다. SMART라는 통합 분석 시스템을 통해 하루 1천만~2천만 건의 보안 이벤트를 자동 처리하며, 연간 2천여 건의 위협에 대응하고 있습니다. 특히 탐지부터 대응까지 1시간 이내에 처리할 수 있는 신속성이 강점으로 꼽힙니다.
주요 기술적 기능
- DNS 싱크홀 서비스: 봇넷 C&C 차단, 연간 5만 건 이상의 좀비 PC 감염 차단
- 실시간 공격 시각화(K-Cube): 3차원 IP 상관 분석, 100만 개 이상의 IP 행위 패턴 인식
- 가상 환경 악성코드 분석: 머신러닝 기반 샌드박스로 제로데이 위협 탐지
- 빅데이터 보안 분석: 네트워크 흐름과 페이로드 상관 분석을 통한 자동 규칙 생성
성과와 국제 협력
이러한 다층적 방어 전략 덕분에 2011년 3.4 DDoS 대란에서도 연구망 내 감염 PC가 단 한 대도 발생하지 않았습니다. 또한 국가사이버안전센터(NCSC) 및 국제 보안 협의체(FIRST)와의 정보 공유를 통해 위협 대응력을 강화하고 있습니다. 즉, S&T-SEC는 단순 방어를 넘어 국제적 사이버 보안 네트워크의 핵심 축으로 기능하고 있습니다.