북한 해커 김수키, 역해킹으로 내부 자료 유출

• 해커들에 의해 김수키의 공격용 도구, 내부 매뉴얼 등 대량 자료 외부 공개
• 한국 주요 정부 기관 대상으로 한 공격 정황 및 외교부 소스코드, 인증서 포함 자료 유출

북한 정찰총국 산하 해커 조직으로 알려진 김수키가 역으로 해킹당해 내부 자료가 대거 유출되는 사건이 발생했다. 이번 사건은 한국 정부와 주요 안보 기관을 겨냥한 공격 정황을 드러냈다. 또한, 김수키의 활동 방식과 내부 기술 자료를 폭로하며 큰 논란을 일으켰다.

2025년 6월 발생한 이번 사건은 12일 테크크런치(TechCrunch) 보도를 통해 드러났다. 보도에 따르면 세이버(Saber)와 사이보그(cyb0rg)라는 이름으로 활동하는 해커들이 김수키 조직원이 사용하던 가상사설서버(VPS)와 리눅스 워크스테이션을 해킹했다. 이들의 활동 결과는 사이버 보안 전문지 진(Zine) 최신호에 공개됐다. 유출된 자료에는 맞춤형 백도어, 피싱 프레임워크, 정찰 도구 등 김수키의 내부 기술 자료가 포함됐다.

특히 공개된 피싱 공격 기록에는 한국 국군방첩사령부(DCC), 대검찰청, 외교부 등 주요 정부 기관을 대상으로 한 구체적인 공격 정보가 담겼다. 더불어 유출 자료에는 외교부 이메일 플랫폼의 전체 소스코드와 통일부 등 다양한 정부 기관이 발급한 것으로 추정되는 공무원 전자서명 인증서(GPKI) 2,000개 이상이 포함돼 심각성을 더했다.

김수키는 그동안 첩보 수집을 목적으로 활동해왔다. 그뿐만 아니라, 암호화폐를 통한 금융 공격으로 북한의 핵무기 프로그램 자금을 조달하는 것으로도 알려졌다. 이러한 공격 활동은 2024년에 들어서며 더욱 강화된 것으로 보도됐다.

한편, 세이버와 사이보그는 이번 자료를 공개하며 김수키가 다른 북한 해킹 그룹과 도구 및 기술을 공유하며 협력 관계를 맺고 있음을 강조했다. 이로 인해 김수키와 다른 북한 해킹 그룹 간 연계 가능성도 주목받았다. 실제로 슬로우미스트(SlowMist) 보안팀의 최고보안책임자(CISO)는 지난 5월에 이미 김수키 관련 대규모 데이터 유출을 확인했다고 언급했다.

이번 사건은 2025년 들어 가장 주목할 만한 사이버 보안 사건 중 하나로 기록될 가능성이 높다. 김수키의 내부 활동이 전례 없이 드러나면서 국제 사회와 한국 정부의 보안 대책에도 중대한 영향을 미칠 것으로 보인다.