본문 바로가기
IT 에 관한 잡썰

중국 공안의 한국 통신사 데이터 요청 논란: 미국 기소 해커 대화 분석

by 개발하는 늑대 2025. 6. 11.
728x90

🚨긴급진단: 중국 공안, 한국 통신사·외교부 해킹 논란! 아이순 게이트로 본 국가 사이버 안보 비상 총정리

🚨긴급 경고: 한국 통신사·외교부 해킹 논란, '국가 안보' 위협으로 비상! 아이순 게이트의 충격적 진실과 우리가 알아야 할 모든 것

I. 서론: 한국 주요 기관 해킹 논란의 서막

최근 미국 법무부(DOJ)의 기소 발표로 중국 보안업체 아이순(i-Soon)이 한국의 주요 기관을 포함한 전 세계 여러 국가를 대상으로 대규모 해킹 활동을 벌였다는 의혹이 제기되면서 국제적인 파장이 일고 있다. 이 사건은 단순한 사이버 범죄를 넘어 국가 배후 해킹의 가능성을 시사하며, 특히 한국 외교부의 이메일 시스템과 LG유플러스의 통화 기록 유출 의혹은 국내 사이버 안보에 대한 심각한 경각심을 불러일으키고 있다.[1], [2], [3], [4], [5], [6], [7]

아이순 사건은 미국 법무부가 직접 중국 공안부(MPS) 및 국가안전부(MSS)와의 연계를 명시하며 기소했다는 점에서, 국가 주도 사이버 공격의 심각성을 여실히 보여준다.[5], [7], [8] 이는 단순한 해킹을 넘어 국가 안보를 위협하는 행위로 간주되며, 미국 동맹국인 한국은 이러한 국가 배후 해킹 위협에 더욱 민감하게 반응할 수밖에 없다. 이러한 상황은 한미 사이버 안보 공조 및 한국의 전반적인 사이버 안보 전략에 중요한 영향을 미칠 것으로 예상된다.[9], [10], [11]

II. 아이순(i-Soon) 해킹 의혹의 핵심: 미국 법무부 기소장 분석

아이순의 실체와 중국 정부와의 연계

미국 법무부의 2025년 3월 기소장에 따르면, 아이순은 최소 2016년부터 2023년까지 활동하며 중국 정부 기관, 특히 공안부(MPS)와 국가안전부(MSS)의 지시를 받아 해킹 서비스를 제공했다.[5], [7], [8] 아이순은 해킹 성공 시 이메일 계정 하나당 1만~7만5천 달러를 청구하는 체계적인 수익 모델을 갖춘 '사이버 용병' 기업으로 운영된 것으로 파악된다.[5], [7], [8]

이러한 운영 방식은 국가 행위자가 악의적인 사이버 활동을 수행하기 위해 민간 기업을 활용하는 의도적인 전략을 시사한다. 이러한 '외주화'는 공격 주체에 대한 직접적인 귀속을 어렵게 하여 국제적인 법적, 외교적 대응을 복잡하게 만든다. 또한, 이는 사이버 전쟁 능력에 대한 시장을 형성하여 다른 국가 지원 그룹이나 심지어 범죄 조직의 진입 장벽을 낮출 수 있으며, 국가 지원 공격과 금전적 동기를 가진 공격 사이의 경계를 모호하게 만들어 위협 환경을 더욱 복잡하게 만든다.

한국 외교부 이메일 시스템 해킹 시도

미국 법무부 기소장은 아이순의 전 최고운영책임자(COO)가 2022년 11월부터 12월까지 한국 외교부의 여러 이메일 수신함에 대한 무단 접속 권한을 중국 국가안전부(MSS)에 판매하려 시도했다고 명시한다.[12], [13] 특히 MSS는 미국에 있는 한국 공관 중 한 곳과 관련된 이메일 수신함에 큰 관심을 보인 것으로 드러났다.[12], [13]

이러한 특정 외교 채널에 대한 구체적인 관심은 단순한 무차별적 데이터 수집이 아닌 전략적인 정보 수집 목표를 가지고 있음을 나타낸다. 이는 중국 정부가 한국의 대미 외교 활동, 동맹 조정 또는 특정 정책 입장에 대한 통찰력을 얻으려 했을 가능성이 높다는 것을 의미한다. 이러한 수준의 구체성은 이번 사건을 광범위한 사이버 침입을 넘어 한국의 외교 정책과 국가 안보에 중대한 지정학적 영향을 미치는 집중적인 스파이 활동으로 격상시킨다.

LG유플러스 통화 기록 유출 의혹

아이순 내부자가 유출한 자료에는 LG유플러스의 통화 기록 3테라바이트(TB)가 해킹 목록에 포함되어 파문이 일었다.[3], [4] 이는 국내 주요 통신 인프라가 국가 배후 해킹의 표적이 될 수 있음을 보여주는 심각한 정황 증거로 제시되고 있다.[3], [6]

내부 고발 자료의 신뢰성 및 법적 증거 효력

아이순의 해킹 활동이 드러난 계기는 업무 대비 처우가 낮다고 생각한 내부자 2명이 해킹 내용이 담긴 문서 및 내부자 대화 기록 등을 폭로하면서이다.[3] 이러한 내부 고발 자료는 사건의 진실을 밝히는 중요한 단서가 되지만, 법정에서의 증거 능력에 대한 논란이 있을 수 있다. 형사소송에서는 당사자가 수집한 증거 외에 법원의 직권조사 및 진정성 확인이 중요하며, 디지털 기록 매체의 증거 능력에 대해서는 전문법칙 적용 여부 등 학설 대립이 존재한다.[1], [3], [4], [5], [7], [9], [10], [14], [15], [16], [17], [18], [19], [20], [21]

내부 고발 자료는 강력한 정황 증거를 제공하며 미국 법무부가 기소를 발표하는 데 충분한 근거가 되었지만, 한국 내에서는 직접적인 해킹 증거로 인정받는 데 어려움이 있을 수 있다. 이는 정보 기관의 발견과 엄격한 법적 증명의 요구 사항 사이에 중요한 간극이 존재함을 보여준다. 특히 국가 지원 해커가 사용하는 고도화된 안티-포렌식 기술을 고려할 때, 한국 당국이 "직접적인 해킹 흔적"을 발견하지 못했다는 주장은 내부 고발 자료의 유효성을 부정하기보다는, 이러한 정교한 공격을 법적으로 증명하는 데 따르는 어려움을 강조하는 것으로 이해될 수 있다.

표 1: 아이순(i-Soon) 관련 주요 해킹 혐의 및 대상

해킹 주체 배후 의심 국가/기관 해킹 활동 기간 주요 해킹 대상 수익 모델
아이순 중국 공안부(MPS), 중국 국가안전부(MSS) 최소 2016년 ~ 2023년 한국 외교부 (이메일 수신함, 특히 미국 내 공관 관련), LG유플러스 (통화 기록 3TB), 타이완, 인도, 인도네시아 외교부, 미국 종교 단체, 중국 반체제 인사, 미국 정부 기관 및 주 의회, 언론사 등 이메일 계정당 1만~7만5천 달러 청구

III. 한국 정부 및 통신사의 공식 입장과 조사 결과

외교부의 "무단 접속 이력 없음" 반박

한국 외교부는 아이순의 해킹 의혹에 대해 "최근 관계 기관과 합동으로 보안 점검한 결과, 특이점은 발견되지 않았으며, 외교부 메일 시스템에 무단 접속한 이력은 확인된 게 없다"고 공식 반박했다. 이는 2025년 6월 9일 기준으로 발표된 최신 공식 입장이다.[6], [7], [13], [22]

LG유플러스의 "해킹 흔적 없음" 발표

LG유플러스 역시 아이순의 해킹 목록에 언급된 통화 내역이나 데이터가 실제로 유출된 적이 없다고 밝혔다. 회사 측은 모든 서버와 경로를 점검했지만, 외부 침입이나 데이터 유출 흔적을 찾지 못했다고 강조했다.[6], [22], [23], [24], [25]

과학기술정보통신부 및 KISA의 합동 보안 점검 결과

과학기술정보통신부와 한국인터넷진흥원(KISA)은 2025년 3월과 5월 두 차례에 걸쳐 LG유플러스와 KT의 리눅스 서버에 대한 현장 점검을 실시했으며, 현재까지 해킹 관련 특이사항은 발견되지 않았다고 발표했다.[22], [23], [25] 당국은 해커들이 제공한 자료가 "간접적"이며 "악성코드와 같은 기술적 증거가 발견되지 않았다"는 점을 들어 공식적인 해킹 증거가 없다고 판단했다.[22]

한국 정부와 통신사들이 "흔적 없음"을 주장하는 반면, 미국 법무부의 기소와 아이순 내부 유출 자료는 해킹 가능성을 강력히 시사한다. 이러한 상반된 주장은 공격이 탐지를 회피하도록 정교하게 설계되었을 가능성을 보여준다. 보안 업계에서는 "해킹 기술이 고도화되어 침입 흔적을 지웠을 가능성을 배제할 수 없으며" 아이순이 데이터를 다크웹이 아닌 중국 당국에 직접 판매했을 가능성도 제기한다.[7], [22] 이는 전통적인 포렌식 조사를 매우 어렵게 만들고, 국가 지원 행위자에 대한 현재의 탐지 능력에 심각한 취약점이 있음을 드러낸다. 따라서 한국 당국이 직접적인 포렌식 증거를 발견하지 못했다는 것은 공격이 없었다는 의미가 아니라, 공격자들이 탐지를 회피하고 최소한의 디지털 흔적을 남기도록 설계된 고도로 정교한 기술(예: 파일리스 악성코드, Living Off the Land, 안티-포렌식)을 사용했음을 시사한다.

표 2: 한국 정부 및 통신사 공식 입장 요약

기관 해킹 의혹 내용 공식 입장 조사 결과 최신 입장 발표일
외교부 이메일 시스템 해킹 "무단 접속 이력 없음" 특이점 미발견 2025년 6월 9일
LG유플러스 통화 기록 유출 "데이터 유출 확인된 바 없음" 해킹 흔적 없음 2025년 6월 9일
과학기술정보통신부/KISA LG유플러스/KT 서버 해킹 "해킹 흔적 없음" 악성코드 등 기술적 증거 미발견 2025년 6월 4일

IV. '흔적 없는 해킹'의 기술적 이해와 국가 배후 공격의 특성

파일리스(Fileless) 악성코드 및 Living Off the Land (LOTL) 기법

'흔적 없는 해킹'은 파일리스(Fileless) 악성코드와 Living Off the Land (LOTL) 기법을 활용하여 시스템에 파일을 남기지 않고 메모리에서 직접 실행되거나, 시스템 내부에 이미 존재하는 정상 도구(예: PowerShell, WMI, Task Scheduler)를 악용하는 방식으로 이루어진다., , , 이러한 기법은 기존 시그니처 기반의 안티바이러스나 엔드포인트 보안 솔루션의 탐지를 회피하며, 정상적인 시스템 활동으로 위장하여 은밀하게 데이터를 탈취하거나 시스템을 장악할 수 있다., ,

이러한 공격 방식은 사이버 공격 방법론의 중요한 진화를 의미한다. 공격자들은 더 이상 명백히 악의적인 파일을 시스템에 주입하는 데 그치지 않고, 시스템 관리 및 합법적인 운영을 위해 설계된 도구들을 무기화하고 있다. 이는 보안 시스템이 이러한 기본 도구들을 신뢰하도록 설계되어 있기 때문에 탐지를 극도로 어렵게 만든다. 도전 과제는 이제 "나쁜 파일"을 식별하는 것에서 "나쁜 행동"을 합법적인 활동과 구별하는 것으로 전환되었으며, 이는 많은 조직에서 아직 초기 단계에 있는 더욱 정교한 행동 분석 및 AI 기반 이상 탐지 기술을 요구한다. 또한, 이는 시그니처 기반 탐지에 초점을 맞춘 전통적인 보안 투자가 고급 위협에 대해 점점 더 불충분해지고 있음을 시사한다.

BPF도어(BPFDoor) 악성코드와 레드 멘션(Red Menshen) APT 그룹 연관성

SK텔레콤 해킹 사태에서 발견된 'BPF도어' 악성코드는 리눅스 시스템의 BPF(Berkeley Packet Filter) 기능을 악용하여 특정 매직 패킷에만 활성화되는 고도의 은닉성 백도어이다.[21], [26], [27], [28] BPF도어는 중국과 연계된 지능형 지속 공격(APT) 그룹인 '레드 멘션(Red Menshen)'이 주로 사용했던 것으로 알려져 있으며, 이들은 중동 및 아시아 지역 통신사를 공격할 때 BPF도어를 활용했다.[26], [29], [30], [28] SKT 사태에서 총 24종의 BPF도어 변종이 발견되었고, 트렌드마이크로와 팀T5는 한국 통신사가 2024년 7월과 12월에 BPF도어 공격을 받았다고 보고한 바 있다.[21], [29]

BPF도어가 현재 오픈소스로 풀려 있다는 점 [21]에도 불구하고, SKT 해킹에서 발견된 25종의 악성코드 중 24종이 BPF도어 계열이라는 사실 [26]과 PwC, 트렌드마이크로와 같은 보안 기업들이 BPF도어를 아시아 통신사 공격에서 중국 APT 그룹 '레드 멘션'과 역사적으로 연관 지어왔다는 점 [26], [29], [30], [28]은 매우 시사하는 바가 크다. 트렌드마이크로가 이번 공격에 사용된 BPF도어 악성코드의 컨트롤러에서 '레드 멘션'과 유사한 흔적들을 발견했다고 밝힌 점 [21]은 오픈소스라는 단서에도 불구하고 강력한 패턴을 보여준다. 이는 SKT/LG유플러스 사건에 레드 멘션의 직접적인 개입에 대한 명확하고 반박할 수 없는 증거가 공개적으로 제시되지 않았더라도, BPF도어의 일관된 사용, 중국 APT 그룹과의 역사적 연관성, 그리고 한국 통신 인프라를 표적으로 삼았다는 점이 국가 지원 활동과의 강력한 정황적 연관성을 형성한다는 것을 의미한다. 이는 아이순 논란의 지정학적 차원을 강화하며, 이러한 정교한 공격 뒤에 국가 행위자, 특히 중국이 있을 가능성이 높다는 것을 시사한다.

디지털 포렌식의 한계와 증거 확보의 어려움

파일리스 및 LOTL 공격은 디스크에 흔적을 남기지 않고 메모리에서만 동작하며, 실행 파일을 삭제하거나 로그를 차단하는 등 다양한 안티-포렌식(Anti-Forensic) 기법을 사용한다. 이로 인해 전통적인 디지털 포렌식으로는 공격의 흔적을 찾기 매우 어렵다., , , , [27], [17], [31], [10], [16] 경찰청 디지털 증거 분석 현황에 따르면 분석 건수는 급증하지만, 전문 인력은 부족하여 업무 복잡성과 숙련도 문제가 존재한다.[16]

국가 지원 공격자들의 고도화된 안티-포렌식 능력은 피해국에게 심각한 '증거 간극'을 초래한다. 공격이 발생했더라도, 현재의 포렌식 도구와 전문 지식으로는 이를 법적으로 확실하게 증명하고 귀속시키는 것이 거의 불가능할 수 있다. 특히 공격자들이 흔적을 지우거나 전적으로 메모리에서만 작동하는 데 적극적이라면 더욱 그렇다. 이러한 기술적 도전은 피해국이 법적 또는 외교적 조치를 취하는 능력에 직접적인 영향을 미치며, 국가 지원 사이버 공격에 대한 책임 부재로 이어져 공격자에게는 면책 특권을 부여하는 인식을 심어줄 수 있다. 이는 또한 피해국이 행동 기반 탐지 및 메모리 포렌식 능력에 막대한 투자를 해야 할 시급한 필요성과 함께 국제적인 정보 공유의 중요성을 강조한다.

표 3: 국가 배후 해킹 공격 기법 및 특징

기법 유형 주요 특징 관련 APT 그룹 (참고)
파일리스 악성코드 - 시그니처 기반 탐지 우회
- 디스크 흔적 최소화
- 메모리에서만 동작
코드 레드 (Code Red) 등
Living Off the Land (LOTL) - 정상 시스템 도구 악용
- 정상 시스템 활동 위장
- 탐지 회피
Volt Typhoon, LockBit, ACRStealer 등
BPF도어 (BPFDoor) - 리눅스 시스템 BPF 기능 악용
- 고도의 은밀성 백도어
- 특정 매직 패킷에만 활성화
- 장기간 시스템 잠복
레드 멘션 (Red Menshen)
제로데이 취약점 - 알려지지 않은 보안 취약점 활용
- 신속한 공격 무기화
APT29, APT28, APT41 등
사회공학 기법 - 특정 표적에 맞춘 스피어 피싱
- 신뢰할 수 있는 출처 위장
APT29, APT28, APT35, Lazarus 등
공급망 공격 - 소프트웨어 업데이트 등에 악성코드 주입 APT41, SolarWinds 공격 등
암호화/난독화 - 명령 및 통신 암호화
- 탐지 회피
APT29, APT28 등
메모리 상주 - 실행 파일을 삭제하여 디스크 흔적 최소화
- ptrace 방지, 로그 차단 등 안티-포렌식
파일리스 악성코드와 연계
공격 목적 기밀 정보 탈취, 주요 시스템 장악, 국가 안보 위협, 산업 스파이 활동 등
공격 주체 국가 지원 해커 그룹, 범죄 조직, 산업 스파이 집단 등

V. 한국 사이버 안보 체계의 현황과 미래 대응 과제

국가 사이버안보 전략 및 기본계획의 주요 내용

한국 정부는 '자유롭고 안전한 사이버공간 구현'을 비전으로 하는 '국가 사이버안보 전략'을 수립했으며, 이는 5대 전략 과제(공세적 사이버 방어 강화, 글로벌 공조 체계 구축, 핵심 인프라 복원력 강화, 신기술 경쟁 우위 확보, 업무 수행 기반 강화)를 포함한다.[9], [10], [32] '국가 사이버안보 기본계획'은 14개 부처별 93개 개별 과제와 7개 공동 과제로 구성된 100대 실천 과제를 통해 구체적인 이행 방안을 제시한다.[10], [32]

한국은 문서상으로는 견고한 정책 프레임워크를 갖추고 있지만, 아이순 논란과 SK텔레콤/KT BPF도어 사건 [21], [26], [29], [30], [27], [28]은 이러한 계획에도 불구하고 실제 사건이 발생하고 귀속이 여전히 어렵다는 것을 보여준다. 이는 전략적 의도와 실제 구현 또는 충분한 자원 배분 사이에 잠재적인 간극이 존재함을 나타낸다. 도전 과제는 단순히 전략을 '가지고 있는 것'이 아니라, 고도로 적응적이고 자원이 풍부한 국가 지원 행위자에 맞서 이를 효과적으로 '실행하는 것'에 있다. 이는 아마도 증가된 자금 지원, 전문 인력 개발, 그리고 진화하는 위협 환경에 대한 지속적인 적응을 통해 정책적 목표와 운영 현실 사이의 간극을 메울 필요가 있음을 시사한다.

국제 공조의 필요성과 강화 방안

국가 사이버안보 전략은 초국가적 사이버 위협에 대응하기 위한 양·다자간 협력 체계 내실화 및 국제 협력 리더십 확보를 강조한다.[9], [10], [32] 특히 미국 법무부의 아이순 기소는 국제 공조의 중요성을 부각시키며, 한국 외교부도 사이버 규범 형성 및 신뢰 구축을 위한 국제사회 논의에 적극 참여하고, 자유민주주의 가치를 공유하는 국가들과의 사이버 안보 협력을 강화해야 한다.[33], [34], [35],

국가 지원 해킹에 대한 효과적인 국제 협력은 단순히 고위급 정책 합의를 넘어선다. 이는 심층적이고 실시간적인 정보 및 포렌식 데이터 공유, 그리고 귀속 표준 및 법적 프레임워크에 대한 공통된 이해를 필요로 한다. 아이순 사건은 정보가 공유될 수 있음에도 불구하고(미국 기소로 이어짐), 포렌식 증거가 모호하거나 해석이 다를 경우 실행 가능한 법적 및 방어적 대응이 달라질 수 있음을 보여준다. 이는 외교적 협력뿐만 아니라 사이버 범죄 및 국가 지원 해킹에 대한 기술적 협력 및 잠재적으로 조화된 법적 접근 방식의 강화를 요구하며, 정보가 실질적인 책임으로 이어지도록 보장해야 한다.

법제도 개선 및 인프라 강화의 중요성

사이버안보 관련 법제도 및 조직을 정비하고, 국가 핵심 인프라의 사이버 복원력을 강화하는 것이 필수적이다.[9], [10], [11], [36], [37], [32] 특히, 사이버보안 투자 확대, 전문 인력 양성, 보안 기업 성장 환경 조성, 공정 경쟁 원칙 확립 등을 통해 국가 전반의 사이버 방어 능력을 제고해야 한다.[9], [10], [32] 보안업계에서는 국내 주요 인물 정밀 추적 목적의 사이버 공격에 대응하기 위해 사이버안보법을 마련해야 한다는 지적이 나온다.[3], [22]

VI. 결론 및 시사점: 복잡한 사이버 위협 시대의 대응

아이순 해킹 논란이 던지는 교훈

아이순 사건은 국가 배후 해킹이 얼마나 은밀하고 고도화될 수 있는지, 그리고 전통적인 보안 점검으로는 탐지하기 어려운 '흔적 없는 공격'이 현실화되고 있음을 보여준다. 미국 법무부의 명시적인 기소와 한국 당국의 "흔적 없음" 입장 사이의 극명한 대조는 단순한 사실적 논쟁이 아니라, 안티-포렌식 기술을 사용하는 정교한 국가 지원 사이버 공격을 증명하는 데 내재된 어려움을 반영한다.

이러한 상황은 중대한 '대응의 딜레마'를 야기한다. 한 국가가 공격을 명확하게 증명하거나 법적 확실성을 가지고 귀속할 수 없다면, 법적, 외교적, 또는 보복적 대응과 같은 비례적인 대응 조치를 실행하는 데 어려움을 겪게 된다. 이러한 불확실성은 대중의 신뢰를 약화시키고, 내부 정치적 마찰을 야기하며, 이러한 회색 지대에서 활동하는 공격자들을 대담하게 만들 수 있다. 이번 사건이 주는 교훈은 첨단 국가 지원 위협 시대의 사이버 보안이 완벽한 탐지보다는 불확실성을 관리하고, 복원력을 구축하며, 전통적인 포렌식 증거가 없는 상황에서도 행동할 수 있는 강력한 국제 정보 공유 메커니즘을 육성하는 데 더 가깝다는 것이다.

국가, 기업, 개인의 사이버 보안 인식 제고 및 실천 방안

  • 국가: '공세적 사이버 방어 활동 강화'를 포함한 국가 사이버안보 전략을 실질적으로 이행하고, 최신 공격 기법에 대응할 수 있는 기술적 역량(예: 행동 기반 탐지, 메모리 포렌식)을 확보해야 한다. 국제 협력 및 정보 공유 체계를 더욱 강화하여 위협 정보를 신속히 공유하고 공동 대응할 수 있는 기반을 마련해야 한다.[9], [10], [32]
  • 기업: 통신사 등 주요 인프라 기업은 보안 투자를 확대하고, 자체 보안 점검을 강화하며, 제로데이 취약점 및 LOTL 공격에 대비한 방어 체계를 구축해야 한다. 최고 경영진의 사이버 안보에 대한 인식을 '국방 문제' 수준으로 격상하는 것이 필요하다.[22], [21], [26], [29], [30]
  • 개인: 해킹 메일 대응 훈련 등 기본적인 보안 수칙을 생활화하고, 의심스러운 링크나 파일은 열지 않는 등 개인의 주의와 실천이 중요하다.[9]

향후 사이버 안보 환경 전망

국가 배후의 사이버 공격은 더욱 고도화되고 은밀해질 것이며, 특정 국가의 외교적, 경제적, 군사적 이익을 위한 정보 탈취 시도는 계속될 것이다. 인공지능(AI) 등 신기술의 발전은 공격과 방어 양측 모두에 영향을 미치며, 사이버 안보 환경의 복잡성을 가중시킬 것이다. 결국, 사이버 안보는 더 이상 기술적 문제를 넘어 국가 안보의 핵심 영역으로 인식되어야 하며, 범국가적 차원의 지속적인 투자와 인재 양성, 그리고 국제 사회와의 긴밀한 협력이 필수적이다.


주요 인용 및 키워드

728x90