한 기자가 노트북 화면에 표시된 ‘Phishing Attack’ 경고창을 바라보고 있다. 최근 공개된 김수키 내부 자료에서는 언론인·정치인을 겨냥한 표적 피싱 공격 정황이 드러나, 언론계 보안 위협의 심각성을 보여준다. 한미일보 합성

2025년 8월, 라스베이거스에서 열린 세계 최대 해킹 컨퍼런스 DEF CON 33에서 발표된 ‘APT Down: The North Korea Files’는 북한의 대남 사이버 공작 실태를 적나라하게 드러냈다. 내부에서 탈취된 8.9GB의 자료에는 정부기관뿐 아니라 언론과 시민사회가 공격의 직접적인 표적이 되었음을 보여주는 기록이 담겨 있었다.

특히 ‘Operation Covert Stalker’라는 이름의 작전 로그는 충격적이었다. 여기에는 언론인과 정치인, 학자들의 이메일 계정이 표적 리스트로 정리돼 있었고, 실제로 발송된 피싱 메일 제목은 치밀하게 위장돼 있었다. “학술지 원고 교정 요청”, “정책 자문회의 초청장”, “선거 여론조사 결과 공유”라는 문구가 수신자를 속였고, 클릭 순간 악성 모듈이 실행돼 정보가 탈취되는 방식이었다. 공격 대상이 단순한 일반 시민이 아니라 여론 형성과 정책 결정에 영향력을 가진 집단이었음이 명확히 드러났다.

사진 설명: 해커가 기자 계정(reporter@press.co.kr)으로 피싱 메일 발송, “delivered”→정상적 수신, 악성 페이로드(실행 코드)가 서버에 업로드 완료 → 메일 클릭 후 감염 가능성을 시사

코드 내부에 한국 언론사 이름 함께 기재→실제 해당 언론사 서버를 경유지로 삼았거나, 언론 명의를 공격에 활용했음을 암시. 자료 원본 캡처

더 심각한 것은 ‘Spawn Chimera’라는 이름의 백도어였다. 특정 암호 신호를 맞춰야만 접속이 허용되는 포트 노킹(port knocking) 기법이 적용된 정교한 모듈인데, 내부 파일명과 주석에는 한국 언론사 명칭이 직접 등장했다. 

보안 전문가들은 이를 두고 “실제 언론사 서버를 경유지로 활용했을 가능성” 혹은 “언론사 명의를 악용해 신뢰를 속이려 한 사회공학적 기법”이라고 해석한다.

실제 서버가 공격 경유지로 쓰였는지, 아니면 단순히 신뢰를 속이기 위한 사회공학적 장치였는지는 해석이 갈리지만, 언론사가 민주주의의 파수꾼에서 공격의 통로로 변질될 수 있다는 충격적 가능성을 보여준다.

더 심각한 것은 해외 보안 보고서와 전문가들은 이를 공개적으로 지적했지만, 정작 한국 주요 언론은 이를 거의 보도하지 않았다는 점이다. 일부 매체가 국가기관 침투 여부를 언급했을 뿐, 언론사 명칭이 직접 거론된 사실은 완전히 가려졌다. 국민 앞에 해명조차 내놓지 않은 해당 언론사 역시 비판을 피할 수 없다. 침묵은 곧 은폐이며, 은폐는 민주주의를 더욱 취약하게 만든다.

이번 사건은 언론과 시민사회가 사이버전에 얼마나 무방비 상태인지를 드러낸다. 언론인과 정치인은 정밀 표적이 되었고, 언론사 서버는 해커의 경유지로 지목됐으며, 학자와 연구자는 영향력 때문에 집중 공격 대상이 되었다. 이는 단순한 기술적 해킹 사건이 아니라, 여론 형성과 민주주의 제도 자체를 겨냥한 전략적 사이버전의 일환이었다.

DEF CON 발표는 불편한 진실을 우리 앞에 내놓았다. “언론이 침묵할 때 민주주의는 무너진다.” 이번 사건은 그 문장이 더 이상 추상적 경구가 아님을 증명한다. 로그와 악성코드라는 구체적 기록이 그 사실을 말해주고 있다. 이제 언론은 국민 앞에 책임 있게 응답해야 한다. 침묵은 더 이상 변명이 될 수 없다.

다음 편 예고

다음 편에서는 김수키 내부 자료에 드러난 북·중 합작 해킹 정황을 다룹니다. 평양 시간 기준 ‘정규 근무 기록’, 중국발 IP와 번역기 사용 흔적, 그리고 일본 JPCERT 보고서까지, 단순 북한 단독작전이 아니라 동북아 안보 지형을 뒤흔드는 북·중 공동작전 가능성을 심층 분석합니다. 민주주의 선거 개입을 넘어, 사이버 전장에서의 신(新)냉전을 보여주는 충격적 기록이 공개될 예정입니다.

#DEFCON33 #김수키 #사이버보안 #언론침묵 #민주주의위기 #표적피싱 #SpawnChimera