북한(왼쪽)과 중국(오른쪽) 국기가 겹쳐진 화면 위로 한국 지도에 사이버 공격 경고 아이콘이 표시돼 있다. 이는 북한과 중국이 합작으로 한국을 겨냥한 사이버 공격 정황을 상징적으로 보여준다. 한미일보 합성

 2025년 8월, 라스베이거스에서 열린 세계 최대 해킹 컨퍼런스 DEF CON 33. 그곳에서 공개된 ‘APT Down: The North Korea Files’는 한국 사회의 심장을 정조준한 사이버 공작의 실체를 드러냈다. 

8.9GB에 달하는 내부 자료는 북한 해킹조직 김수키(Kimsuky)의 워크스테이션과 VPS 서버에서 추출된 것으로, 그 안에는 선거관리위원회 서버 접근 기록, 정부기관 인증서 탈취, 언론과 학계를 향한 표적 공격, 북중 합작 정황, 암호화폐 자금 세탁 경로까지 총체적 위기의 흔적이 낱낱이 담겨 있었다.

가장 큰 충격은 선관위를 겨냥한 침투 기록이었다. 

자료 속 ‘Operation Log’에는 선거 직전, 투·개표 서버를 향해 반복적으로 연결을 시도한 로그와 8443 포트 접속 성공 기록이 남아 있었다. 단순한 시도만이 아니라 악성 모듈 업로드 흔적까지 함께 발견되면서, 이는 단순한 흔적이 아니라 실제 침투 가능성을 보여주는 증거로 해석된다. 

여기에 수천 개의 GPKI 인증서와 키가 한꺼번에 탈취되어 있었고, 이를 해독하기 위한 자바 프로그램까지 공격자의 워크스테이션에 존재했다. 선관위와 정부는 여전히 “침투 흔적이 없다”고 부인했지만, 국제 보안 커뮤니티와 전문가들은 “이미 민주주의의 심장부가 노출됐다”는 진단을 내놓고 있다.

정부기관 역시 예외는 아니었다. 

외교부의 Kebi 메일 소스코드가 유출되고, 대검찰청 계정과 인증키가 탈취되었으며, 행정안전부·통일부 인증서가 함께 빠져나갔다. 이는 정부의 모든 인증 체계가 연동되어 있는 구조적 허점을 드러낸다. “한 부처가 뚫리면 선관위와 정부24까지 줄줄이 무너진다”는 전직 CERT 요원의 말은 한국 행정 전체가 한순간에 노출될 수 있음을 보여준다.

언론과 시민사회도 안전하지 않았다. 

‘Operation Covert Stalker’라는 이름의 작전 로그에는 언론인과 학자, 정치인을 겨냥한 피싱 메일 발송 내역이 기록돼 있었다. “학술지 원고 교정 요청”, “정책 자문회의 초청장” 같은 제목으로 위장된 문서 파일을 열면 악성 모듈이 작동했고, 이는 정보 탈취로 이어졌다. 

더 놀라운 점은 Spawn Chimera라는 백도어 내부 코드 주석에 실제 한국 언론사 명칭이 등장했다는 사실이다. 보안 전문가들은 이를 실제 언론사 서버가 공격의 경유지로 쓰였거나, 최소한 사회공학적 기법을 위해 명칭이 악용된 것이라고 분석한다. 그러나 정작 한국 언론은 이 사실을 거의 보도하지 않았다. 민주주의의 파수꾼조차 공격에 취약했을 뿐 아니라, 국민 앞에 경고조차 내놓지 못한 셈이다.

북·중 합작 정황은 더욱 뚜렷하다. 

평양 시간 기준 오전 9시부터 오후 5시까지의 정규 근무 로그가 남아 있었고, 그 안에는 “한국 외교부 대상 피싱 – 중국 파트너 검토 완료”라는 메모가 포함됐다. 또 선거인 명부 탈취를 목적으로 작성된 voter_id_scraper.py라는 스크립트에는 “중국 파트너에 의해 수정 – 최종본”이라는 주석이 달려 있었다. 

이는 북한이 단독으로 움직인 것이 아니라 중국과 공동으로 작업하며 한국의 선거를 겨냥했다는 물증이다. 일본 사이버보안센터(JPCERT)가 2024년 하반기에 중국발 IP와 북한형 악성 모듈이 동시에 쓰인 공격을 포착해 보고한 사실은 이 정황을 뒷받침한다.

북 해킹, 정보 수집 넘어 자금 조달과 무기 구매

더 나아가 자료는 북한의 해킹이 단순 정보 수집이 아니라 자금 조달과 무기 프로그램으로 이어진다는 점을 보여준다. 

암호화폐 지갑 접근 기록과 세탁 경로, 무기 개발 프로그램과 연결된 문서가 함께 발견된 것이다. 해킹으로 탈취한 암호화폐는 세탁을 거쳐 국제 제재를 우회했고, 다시 북한의 핵·미사일 개발에 투입되는 구조였다. 사이버 공격이 곧바로 전쟁 자금으로 변환되는 연결고리가 드러난 셈이다.

이처럼 선관위, 정부기관, 언론·시민사회, 북중 합작, 자금조달까지 이어지는 전체 그림은 한국 사회가 직면한 총체적 위기를 압축적으로 보여준다. 민주주의의 심장, 행정의 대문, 언론의 파수꾼, 국방의 울타리, 경제의 기반이 한꺼번에 공격받고 있었다.

그럼에도 불구하고 선관위와 정부는 여전히 “흔적이 없다”는 해명을 반복하며 은폐에 급급하다. 그러나 국제 보안 커뮤니티와 해외 언론은 이미 사실을 공개했고, 한국만이 침묵한다면 국제적 신뢰마저 상실할 수 있다.

앞으로의 과제는 분명하다. 

국정원·검찰·경찰이 합동으로 강제 수사와 포렌식 검증을 실시해야 한다. 

선관위와 정부기관의 인증 체계를 전면 개편하고, 투개표 시스템 보안 검증을 의무화해야 한다. 

나아가 2024년 10월 한미 국방장관 공동성명이 천명한 “사이버 및 우주 영역 공동 대응” 원칙에 따라, 한미일 동맹 차원의 실질적 대응 체제를 가동해야 한다. 

민주주의는 침묵으로 지켜지지 않는다. 지금 필요한 것은 진실 규명과 책임 추궁, 제도 개혁, 그리고 동맹의 협력이다.

은폐 속에 무너질 것인가, 개혁으로 다시 세울 것인가. 대한민국 민주주의의 선택은 더 이상 늦출 수 없는 시간에 도달해 있다.

#김수키 #북중합작해킹 #선관위침투 #GPKI #사이버안보위기 #DEFCON33 #APTDown #민주주의위기 #은폐인가개혁인가