속수무책 당한 유럽 대사관 해킹…韓 사이버 대응 공백 드러나

한국 주재 유럽권 대사관과 외교 부처를 겨냥한 사이버 공격이 최소 19차례 확인됐다. 공격자는 북한 또는 중국 출신 해킹 집단 김수키(APT43)로 추정되며, 대한민국 주요 정부 부처와 통신사를 공격한데 이어, 한국 주재 유럽 대사관도 공격한 것으로 나타났다.  특히 이번 공격에서는 '제노(Xeno)RAT'라는 악성코드를 활용해 외교 기밀 정보 탈취를 시도했으며, 몇 달째 공격이 이어지고 있어 우려가 커지고 있다.

'제노(Xeno)RAT'라는 악성코드는 트로이목마 악성코드로, 컴퓨터의 키 입력 기록과 스크린샷 캡처가 가능하다. 즉, 감염된 컴퓨터의 웹캠과 마이크에 접근해 중요 파일 전송 및 컴퓨터 조작이 가능한 것이다.
미국 비영리 단체 디도시크릿츠(DDoSecrets)가 해킹 조직에서 빼낸 파일과 데이터를 기반으로 작성한 보고서 ‘APT Down: The North Korea Files’에 따르면, 공격 흔적이 남아있는 기관으로는 “국군방첩사령부와 검찰, 외교부, 행정안전부, 통신사” 등이 있다. 해당 보고서에서는 방첩사 관련 공식 이메일 계정을 겨냥한 ‘스피어피싱’ 메일 발송 내역, 외교부의 이메일 플랫폼 관련 네트워크 접속 정보, 행안부의 내부망에서만 접근 가능한 메신저 관련 로그 파일이 확인됐다. 또한 통신사의 내부 서버에서 쓰이는 계정과 비밀번호를 저장한 파일이 유출되며, 계정 정보가 유출된 정황이 파악됐다. 이에 국정원과 한국인터넷진흥원(KISA)는 해당 정부 기관과 통신사에 관련 내용을 전달하고 사후 조치를 취했다고 밝혔지만, 국내 주요 기관들을 향한 공격은 3월부터 계속되고 있기에, 이번 사태와 함께 아직 적절한 방어 체계가 미비한 것으로 보인다. 

이번 표적으로는 주로 서울의 유럽 대사관들이다. 트렐릭스(기업용 사이버 보안 전문 기업)에 따르면, 피싱 이메일은 한국어, 영어, 페르시아어, 아랍어, 프랑스어, 러시아어 등 다양한 언어로 작성되었다. 실제, 지난 5월 13일에는 서유럽 대사관을 대상으로 EU 고위급 관리를 사칭하여 ‘정치 자문 회의’ 초대 이메일을 발송했다. 이는 공격자들이 실제 외교 일정과 시차에 맞추고, 각 대사관의 특성을 면밀히 파악하고 맞춤형 공격을 수행했음을 시사한다.

해외 주요 매체와 전문가들의 의견으로는 김수키가 북한 지원 해커 집단임을 의심하는 대목이 주를 이뤘지만, 한편으로는 중국과의 연결 가능성 또한 시사했다. 해커들의 활동이 이전 북한 해커 집단의 양상과 매우 유사하지만, 중국의 근무 시간과 밀접하게 일치했고, 중국 국경일에는 중단되었지만, 남북한 공휴일에는 중단되지 않았기 때문이다. 이에 지난 14일 대통령실 브리핑에서는 “정확한 정보가 없다. 국방부에 대해서(국방부에 이에 대해서) 물어보시면 자세한 답을 주지 않을까 싶다.”라고 답했다. 

이번 서울 주재 유럽 대사관 공격 사건은 한국의 사이버 보안 체계가 여전히 중대한 취약점을 안고 있음을 여실히 드러냈다. 해결에 나설 국가 안보실 사이버안보비서관 자리는 아직 공석이며, 트렐릭스의 지난 보고서에도 불구하고, 아직까지 한국 정부의 공식 대응이나 경고는 뚜렷하게 확인되지 않고 있다. 또한 한국인터넷진흥원(KISA)의 ‘2025년 상반기 사이버 위협 동향 보고서’에서 정리한 바와 같이, SKT와 예스24, SGI서울보증 등 해킹 사고가 지속적으로 발생하고 있다.

이에 보안 전문가들은 “네트워크 차원의 비정상적인 트래픽을 감시하고, 악성 행위 여부를 정기적으로 점검해야 하며, 무엇보다도 공격 주체에 대한 추적보다 공격 기법 자체를 차단하는 전략이 우선시돼야 한다.”라고 지적했다. 즉, 우리는 조속히 국가 단위의 사이버 보안 컨트롤타워 구축과 책임자 임명, 행동주의 대비책이 강구할 수 있도록 현재의 구조적 한계와 전술적 공백을 메워야 한다.