북한 해킹조직 ‘킴수키’ 역해킹… 사상 첫 8.9GB 내부자료 폭로 !!!

해킹 사진

[단독] 북한 해킹조직 ‘킴수키’ 역해킹… 사상 첫 8.9GB 내부자료 폭로

킴수키 내부자료 유출로 확인된 한국 정부 핵심 인프라 해킹 피해
GPKI·선관위·국방정보사령부 침투 정황… 尹정부 경고, 사실로 드러나
DEF CON 33서 폭로된 평양 해커 일상과 한국 정부망 해킹 정황

미국 해커들의 북한 조직 침투로 사상 초유의 자료 공개

2025년 8월, 북한 국영 해킹조직 킴수키(Kimsuky) 소속 해커의 컴퓨터가 외부에 의해 해킹당해 약 8.9GB 분량의 내부 작전 자료가 전 세계에 공개되는 사건이 발생했다.

이는 폐쇄국가 북한의 사이버 공작 조직이 역으로 해킹당해 내부 실상이 노출된 최초의 사례로 기록되고 있다.

▲ ‘APT Down’ 보고서 표지와 목차 — 미국 해커 ‘Saber’와 ‘cyb0rg’가 작성한 이번 분석은 킴수키 내부 백도어, 스피어피싱 도구, 한국 정부기관 침투 정황을 상세히 기록했다. 사진=APT Down: The North Korea Files

유출 자료의 출처와 신뢰성

ㅡ 자료 확보 경위

미국 해커 'Saber'와 'cyb0rg'가 북한 킴수키 소속 해커(닉네임 'KIM')의 리눅스 개발용 워크스테이션과 VPS(가상사설서버)에 침투해 내부 자료를 탈취했다.

해당 자료는 2025년 8월 미국 라스베이거스에서 열린 세계 최대 해킹대회 DEF CON 33에서 공개됐으며, 국제 내부고발 플랫폼 DDoSecrets를 통해 전 세계에 배포됐다.

ㅡ 자료의 구성과 범위

포함된 주요 내용:

실제 해킹 및 피싱 작전 로그파일 ('Operation Covert Stalker' 등)
악성코드 소스코드 및 하드코딩된 패스워드 ('Min2jAcgXeDsdL' 등)
공격 대상 기관별 상세 침투 기록 (DCC 서버 로그 등)
내부 운영 매뉴얼 및 작업 지침
웹/메일 서버 접속 정보 및 계정 데이터 ('dyson91@tutamail.com' 등)
북한 해커의 실제 작업 환경 기록 (구글 번역기 사용 내역 포함)
해커 커뮤니티 내 활동 흔적 ('illuminatiparty.org' 이스터 에그)
피싱 사이트 자동 생성 PHP Generator 및 실전 피싱키트 전체 코드
VirusTotal 미등록 신종 악성코드 바이너리 다수
암호화폐 해킹 및 자금세탁 관련 자료자료의 한계: 이번 유출은 킴수키 조직 전체가 아닌 개별 해커 1명의 작업 환경에서 나온 것으로, 북한 사이버 공작의 일부만을 보여준다.

또한 일부 민감한 정보는 국제 보안 우려로 DDoSecrets 측에서 필터링해 공개하지 않았다.

한국 정부기관 해킹 피해 실상

ㅡ GPKI 인증시스템 완전 침투

유출된 자료에서 가장 충격적인 발견은 한국 정부의 핵심 인증 인프라인 GPKI(Government Public Key Infrastructure) 시스템이 해킹당했다는 사실이다.

확인된 피해 내용:

행정안전부, 통일부 등 정부기관 공인인증서 대량 탈취
Java 프로그램을 이용한 인증서 패스워드 자동 크래킹
크래킹된 인증키와 보안파일이 ~/Desktop/uni_certs 폴더에 저장된 증거
"unikorea123" 등 실제 해독된 패스워드를 이용한 워드리스트 제작

ㅡ 주요 정부기관별 침투 현황

1) 중앙선거관리위원회

2021년 4월 선관위 지역사무소 고위직 직원 개인 이메일 해킹 성공
투개표 관련 시스템 접근 시도 로그 다수 발견
동료 사칭 악성코드를 통한 내부망 침투 경로 기록

2) 국군방첩사령부 (DCC)

dcc.mil.kr 도메인 대상 침투 성공 기록 확인
DCC 서버 공격 흔적이 상세 로그 파일에 기록
군 관련 기밀정보 접근 시도 다수 확인

3) 외교부

이메일 시스템 'Kebi'의 전체 소스코드 탈취
'mofa.go.kr' 메일 서버 소스코드 확보
외교부 Kebi 시스템 완전체 유출: 웹메일, 관리자, 데이터 아카이빙 모든 모듈이 압축본 형태로 포함
격자가 이 소스를 분석해 취약점 공격, 실물 피싱 페이지 위조, 내부 사칭 행위에 악용 가능
외교 관련 기밀문서 유출 정황

4) 대검찰청

korea.kr 및 spo.go.kr 도메인을 통한 검찰 시스템 해킹 시도
실제 운영 중인 검찰 계정 및 인증키 유출 확인
수사 관련 정보 수집 활동 확인

ㅡ 민간 부문 피해

포털사이트 및 언론사 공격:

네이버, 다음, 카카오 등 주요 포털 대상 AiTM(중간자 공격) 실행
가짜 로그인 페이지(websecuritynotices.com 등) 운영을 통한 개인정보 탈취
'한겨레' 이름을 사용한 백도어 'Spawn Chimera and The Hankyoreh' 발견
언론사 위장을 통한 기자, 학자, 정치인 표적 공격 ('Operation Covert Stalker')
PHP Generator를 이용한 피싱 사이트 자동 생성 툴 운영
실전 피싱키트 및 탐지 우회 도구 전체 코드 보유
피해자 크롬 브라우저 히스토리까지 수집하는 상세 로그 시스템
세션 쿠키 탈취를 통한 계정 장악

▲ DEF CON 33에서 공개된 ‘APT Down: The North Korea Files’ 보고서 일부 — 북한 해커 ‘KIM’이 침투한 한국 정부 내부망 접속 기록과 외교부 이메일 서버 정보가 포함돼 있다. 사진=APT Down: The North Korea Files

북한 해킹조직의 운영 실태

ㅡ 평양 정규근무 체제 확인

유출된 데이터 분석 결과, 킴수키 해커들이 평양 시간 기준 오전 9시부터 오후 5시까지 정규 근무하는 공무원 형태로 운영되고 있음이 확인됐다.

이는 북한의 사이버 공작이 국가 차원에서 체계적으로 관리되고 있음을 보여준다.

ㅡ 사용된 해킹 도구와 기법

'Tomcat Kernel Backdoor' - 고도화된 커널 레벨 침투:

리눅스 LKM(Loadable Kernel Module) 형태의 백도어
TCP-SEQ-IP-ID를 이용한 백도어 연결 구축 방식
하드코딩된 마스터 비밀번호 'Min2jAcgXeDsdL' 사용
마스터-유저랜드 구조로 은밀한 원격 접속 가능

'Private Cobalt Strike Beacon' - 맞춤형 C2 통신:

킴수키가 자체 제작한 코발트 스트라이크 변종
C2 서버와의 맞춤형 통신 프로토콜 구현
기존 보안 솔루션 탐지 회피를 위한 커스터마이징

기타 확인된 해킹툴:

'Ivanti aka RootRot': Ivanti 취약점 악용 백도어
'Spawn Chimera and The Hankyoreh': 한겨레 이름을 사용한 백도어 (언론사 위장 공격 추정)
Android Toybox: 모바일 기기 표적 해킹툴
'Onnara Proxy': 새로운 프록시 우회 도구
CVE-2025-0282 등 공개 취약점 활용: 최신 보안 취약점 즉시 악용
VirusTotal 등 메이저 보안 DB에서 미분류된 신종 악성코드 바이너리 다수 포함

▲ 유출 자료에서 북한 해커 ‘김’이 구글 번역기로 한국어를 중국어로 번역한 기록과 함께, 중국 해킹그룹과의 공동 작업 흔적이 확인됐다.

ㅁㅁㅁㅁㅁ

ㅡ 중국과의 협업 및 공격자 정체성 단서

중국 해커와의 협업 정황: 유출된 자료에서 북한 해커들이 중국 해킹그룹과 협업하고 있음을 시사하는 대화 기록과 공동 작업 흔적이 발견됐다.

특히 '김'이 구글 번역기를 사용해 한국어를 중국어로 번역하는 기록이 포착되어, 중국어권과의 밀접한 연관성이 확인됐다.

중국식 에러메시지 번역 흔적, VPN 구매 활동, 깃허브 연계 작업 등이 추가로 발견됐으며, 타이완 정부 및 군 관련 자료도 활동 범위에 포함된 것으로 확인됐다.

공격자 정체성 추적 단서:

이메일 주소 'dyson91@tutamail.com': 킴수키가 피싱 도메인 'websecuritynotices.com' 등록 시 사용
'illuminatiparty.org' 관련 이스터 에그: 해커 커뮤니티 내 존재감 과시 목적으로 추정
Operation Covert Stalker: 기자, 학자, 남한 정치인을 표적으로 한 스피어피싱 작전명

암호화폐 해킹 및 자금세탁 연결고리:

유출 자료에서 암호화폐 탈취를 통한 북한 자금조달 및 무기 프로그램 연결 정황이 새롭게 포착됐다.

이는 북한의 사이버 공작이 단순한 정보 수집을 넘어 실질적인 자금 확보 수단으로 활용되고 있음을 보여준다.

윤석열 정부 대응과 미국 사이버 정책 전환

ㅡ 윤석열 정부의 선제적 대응

2022년 윤석열 정부 출범 후 국정원·KISA·선관위 합동감사에서 선관위 투개표 시스템의 보안 취약점이 공식 확인된 바 있다.

이번 유출 자료는 당시 정부 발표 내용이 정확했음을 입증하는 동시에, 실제 해킹 피해가 발생했음을 보여준다.

ㅡ 비상계엄 악용 피싱 공격

2024년 12월 한국의 비상계엄 선포 직후, 북한 해킹조직이 "비상계엄 기밀자료", "헌병사령부 내부문서" 등으로 위장한 피싱메일 12만 6천여 통을 국내 안보관계자, 언론, 전문가에게 발송한 것으로 확인됐다.

이는 국가 위기 상황을 악용한 전형적인 사회공학적 공격으로, 개인정보 및 인증서 탈취를 목적으로 한 것으로 분석된다.

▲ 킴수키의 해커 커뮤니티 이스터 에그 — 유출 자료 속 ‘illuminatiparty.org’ ASCII 아트와 이메일 계정 정보가 발견되며, 해커의 온라인 활동 흔적이 드러났다. 사진=APT Down: The North Korea Files

ㅡ 미국의 대북 사이버 정책 강화

2025년 8월 11일, 존 밀스(John Mills) 예비역 대령이 미국 국무부 사이버공간 및 디지털 정책 수석부차관보에 취임했다.

존 밀스는 그동안 한국의 사이버 보안 강화를 위한 한미 협력 사업에 깊이 관여해온 인물로, 특히 북한의 대남 사이버 공작 대응 전략 수립에서 핵심 역할을 담당해왔다.

그의 정부 공직 진출은 미국이 대북 사이버 대응을 정책 차원에서 본격화하겠다는 의지로 해석되며, 이번 킴수키 해킹 사건 공개와 같은 시기에 이뤄진 점이 주목된다.

ㅡ 폐쇄망 침투 가능성 입증

북한은 그동안 폐쇄적 인터넷 구조와 엄격한 감시 체계로 인해 외부 침투가 불가능하다고 여겨져 왔다. 그러나 이번 사건으로 적절한 기술과 전략이 있다면 북한 내부 시스템도 침투 가능함이 입증됐다.

※ 본 분석은 DDoSecrets에 공개된 8.9GB 킴수키 내부자료, DEF CON 33 발표 내용, phrack-apt-down-the-north-korea-files.pdf 해설서, 그리고 한국 정부의 공식 발표 자료를 종합하여 작성되었습니다.

※ 일부 민감한 기술적 세부사항과 개인정보는 보안상 이유로 생략되었습니다. 하드코딩된 패스워드, 이메일 주소 등 공개된 정보는 이미 무력화된 것으로 확인된 사항들입니다.

🔮 마무리

문재인 대통령 시절 김정은과 면담을 한 후 USB 건넨 후 ㅡ이미 대한민국의 중요 정보는 다 넘어간거 아닌가 싶다. 국민들은 일상의 삶에 시달리며...하루 하루 바쁘게 살다 보니. ㅡ 정치는 알아서 잘 하겠지 싶어 관심을 갖지 않은 게 대한민국 국민의 현 상황인 것이다.

나 조차도...대한민국을 위해서 잘 하겠지 ㅡ 초 엘리트 대학만 나온 사람들을 선호했고 그들을 믿은 것이 사실이다...배운 만큼 대한민국을 위해서 헌신할 것이라는 착각속에서....지금도 일류대만 나오면 애국 할 것 같은 생각하지만...현실은 반대다...

이승만 대통령 이후에도 김일성의 대남 적화 야욕은 시들지 않았고 ㅡ해외에서는 독일, 미국 등 유학하는 가난한 유학생을 포섭해서 장학금을 주고 그것이 김일성 장학금 이라는 사실을 나중에 얘기해 주고 빠져 나오지도 못하게 하는 유학생 포섭하는 방법이 있는데 ...

실제로 포섭당해서 입북한 오길남 박사님의 "출국" 이라는 영화로 북에 남겨두고 온 부인과 자녀들을 찾기 위한 영화를 만들어서 북한의 간악함을 알렸습니다. 오박사님은 부인의 희생으로 ......북한을 위해서 일을 하면 안된다고 남편을 출국하게 하고 자신과 자녀들은 걱정하지 말라고..권유를 하고 ...정치 수용소에서 고생을 하다가 이제는 생사도 모르는 상황이라고 하니....얼마나 가슴 아픈 상황입니까? 그분들의 희생을 아시는 하느님께서 갚아주시리라 믿고 천국에서 만나기를 기도합니다. ㅠㅠㅠ🕯️🕯️🕯️

https://youtu.be/GgrIghAG1rY?si=QVmknOAHbtGND4Zj

국내에 다니는 대학생들을....특히 학생들 포섭해서 똑똑한 학생은 장학금 대주고..주체사상 교육에 ㅡ검사, 교수등 ..교육계, 법조계등에 투입시키고...앞에서 데모하고 운동하는 주동자등 ㅡ임종석,정청래, 우상우, 임수경 등 ㅡ언론 및 국회진출 시키고 ㅡ 문화, 출판계, 연예계등을 장악해서사회주의 사상과 공산주의 사상을 널리 퍼뜨렸습니다.

배웠다는 엘리트 4,50대는 대학에서 배운 좌파 사상으로 가득차 있는 것이 현실이고ㅡ더불어 간첩당이 승승장구 하는 이유이며 ㅡ 국힘당 역시 김영삼 대통령...라인 등 좌파이기에 - 진정한 보수는 오히려 국민이 해당하는 것이다. 국회의원에서 보수는 찾아보기 힘든 실정이다. 대한민국 법조계, 언론계(엠빙신, 조티비시, kbs등 중국돈과 주사파 침투) , 교육계 (전교조), 기업 (민노총 장악) ...

그런데 ㅡ요즘에 드러나는 상황이 ㅡ 옛날 서울대 건물에서 주체사상 책과 공산주의 서적이 발견되고 있고...VON 뉴스 김미영 기자 (서울대 출신 ) 증언을 들어보면 대학 다니면서 민주주의 지킨다는 명목 아래...공산주의 주체사상을 학생들이 배웠다고 하고 특히, 서점을 근거지로 이해찬도 서울대 근처에서 광장 서적인가를 운영하면서 주체 사상을 가르쳤다고 합니다. 다행히 김기자는 기독교 사상이 뿌리박혀 있어서 공산주의 사상에 물들지 않아서 서울대생 선배사이에서 왕따가 되었다고 합니다.

글로벌 진영의 싸움

🚨 국가보안법 폐지시키고...윤대통령이 간첩법 강화시켜야 된다고 해도 된다고 해도 더불민주당 방해로 간첩법 강화 못해서..중국 간첩도 처벌도 못하게 하고 있다.전교조를 통해 주체사상 전파와 ㅡ 영화계 및 파주출판단지 장악하고,

🚨 "김정은 내친구 " 라는 공산주의 독재자, 인권 말살하는 자를 미화한 책을 아이들 도서관에 비치하는 미친 공산주의로 가고 있는데...대다수의 국민들은 잠자고 있어서 모르고 있다. 어린 자녀가 있는 부모들은 아이들 반공 교육을 개별적으로 시켜야 하는 시대입니다. 안그러면 공산주의 자녀로..차별금지법 이유로 동성애도 인정하고 ,도덕 불감증에 인간의 기본도 모르고 자기 밖에 모르는 독재자를 모범으로 생각하고 자랄 것입니다.

🚨 이젠 외국처럼 국민들이 법 개정도 살피고...자유민주주의를 팔아먹는 정치인들을 막아야 합니다. 나중에 알고 후회하면...그 때는 늦습니다. 일부러 대한민국을 힘든 상황으로 만들어서 헬조선..헬조선 하면서 미워하게 만들고...중국인들에게 소비쿠폰을 주고..질서 개념도 없는 중국인들이 ..화교들이..이름,성도 한국식으로 개명하는 법을 추진하고 있습니다.

💕 우리 할아버지, 아버지들이 중동의 근로자로, 독일의 탄광부와 간호사로 가서 피와 땀으로 달러를 모아서 경제력을 키운 대한민국을 짱깨와 북괴한테 뺏기지 맙시다!!!

🔮 우리의 잘못이라면....경제력만 챙기다...정신 교육을 소홀히 해서.... 할머니, 아버지가 노동하며 돈벌어서..대학 보내니..그 부모들은 보수인데..그 자녀들은 대학가서 민주화 운동한다면서 주체사상에 세뇌되서 좌파가 되어 버린 불쌍한 현실이 되어 버렸습니다국부 이승만 대통령은 이럴 것을 알기에 도덕과 정신 교육을 중요하게 여겼는데...

📢 사람들이 이제 조금 살만하니...온갖 쾌락과 도박, 불륜에 쩔어서 돈이 되면 몸과 나라도 파는 양심을 버린 시대가 되어 버렸습니다.

📢 니느웨 국민들이 요나 선지지가 전한 하느님의 말씀을 듣고 전국민이 회개해서 나라를 살린 것 처럼 대한민국 국민들도 양심을 지키고.. 교인들은 진정.. 진실한 마음으로 예수님을 믿고 회개하지 않으면 ....공산주의에 완전히 전복되서 좌파교회에서 김일성 추체사상을 배우고 환란을 겪게 될 것입니다.