정보보안

SLIME68 해킹 그룹 완전 분석: 한국 정부 침투한 중국 APT의 실체

서론

2025년 8월, 한국 사이버보안 업계는 정부 기관과 주요 통신사를 대상으로 한 대규모 해킹 사건의 전모가 공개되면서 충격에 휩싸였다. 해킹 전문지 프랙(Phrack)과 DDOSecrets를 통해 공개된 ‘APT Down: The North Korea Files’ 보고서는 행정안전부, 외교부, 방첩사 등 한국 정부 기관 및 통신사를 해킹한 공격자는 최소 올해 1월부터 공격을 시작한 것으로 보인다는 분석을 제시했다. 그러나 초기에 북한 김수키 그룹의 소행으로 추정되었던 이 사건은 심층 분석을 통해 전혀 다른 배후를 드러내고 있다.

핵심 발견사항: 국내외 위협 인텔리전스(CTI) 전문기관들은 이번 공격의 배후가 북한이 아닌 중국 연계 APT 그룹 SLIME68(UNC5221)일 가능성이 높다고 분석하고 있으며, 이는 한반도 사이버 위협 환경의 복잡성을 보여주는 중요한 사례가 되고 있다.

1. 공격 그룹 식별: SLIME68/UNC5221의 정체

1.1 그룹 프로필 및 활동 이력

SLIME68은 ‘UNC5221’라는 이름으로도 알려진 중국 연계 해킹 집단이다. UNC5221은 최근 고려대학교 정보보호대학원도 이번 정부 해킹 사건의 공격자로 ‘APT41’과 함께 지목한 바 있다. 이 그룹은 2024년 12월부터 활발한 활동을 보이기 시작했으며, 특히 ‘SPAWN’ 악성코드군을 활용한 글로벌 공격 캠페인으로 주목받았다.

주요 활동 특징:

  • 표적 범위: 한국, 대만, 일본을 포함한 아시아 태평양 지역 정부기관 및 IT 인프라
  • 공격 지속성: 2024년 말부터 2025년 상반기까지 최소 수개월간 지속된 장기 침투
  • 기술적 정교성: 이반티(Ivanti) 제로데이 취약점 악용 및 고도화된 파일리스(Fileless) 공격 기법 활용

1.2 북한 그룹과의 차별화 요소

고려대학교 정보보호대학원의 분석에 따르면, 이번 공격은 기존 북한 APT 그룹의 행동 패턴과 뚜렷한 차이를 보인다:

언어적 증거:

  • 소스코드의 주석과 설정 문서, 명령 기록에도 간체 중국어가 다수 발견됐다고 설명했다. 해커가 한글로 작성된 문서를 광학 문자 인식(OCR)·구글 번역기를 거쳐 중국어로 읽은 흔적도 확인됐다
  • 작업 환경 분석: 중국 검색 엔진 바이두 등 중국어 기반 플랫폼을 번역 없이 사용하는 패턴 관찰

작업 패턴 분석:

  • 노동절이나 단오절 같은 때는 이벤트가 없거나 거의 발생하지 않는 걸 봐서는 우리나라보다는 중국에서 활동하는 인물로 보인다
  • 중국 공휴일 기간 중 활동 중단 패턴이 명확히 관찰됨

2. 기술적 공격 분석: 이반티 제로데이 악용 사례

2.1 CVE-2025-0282 취약점 분석

이번 공격의 핵심은 이반티 커넥트 시큐어(Ivanti Connect Secure) VPN 장비의 제로데이 취약점 악용이었다. CVE-2025-0282 has been actively exploited in the wild since mid-December 2024. This vulnerability, an unauthenticated stack-based buffer overflow, allows remote code execution without authentication는 특성을 갖고 있다.

취약점의 기술적 세부사항:

  • 취약점 유형: 스택 기반 버퍼 오버플로우
  • CVSS 점수: 9.0/10.0 (Critical)
  • 영향 범위: 인증 없는 원격 코드 실행 가능
  • 악용 메커니즘: IF-T/TLS 프로토콜 처리 과정에서 clientCapabilities 변수 조작을 통한 BOF 유발

2.2 공격 기법의 정교성

Prior to exploitation, repeated requests to the appliance have been observed, likely to determine the version prior to attempting exploitation. Version detection has been observed using the Host Checker Launcher와 같이 공격자들은 매우 체계적인 정찰 과정을 거쳤다.

공격 실행 단계:

  1. 정찰 단계: VPN 장비 버전 식별을 위한 반복적 요청 수행
  2. 익스플로잇 단계: 버전별 맞춤형 익스플로잇 코드 실행
  3. 지속성 확보: 웹셸 설치 및 SELinux 비활성화
  4. 흔적 제거: iptables를 통한 시스로그 전달 차단

3. 침해 범위 및 영향 분석

3.1 정부기관 침해 현황

공개된 분석 자료에 따르면, 공격자들은 한국 정부의 핵심 기관들에 대한 광범위한 침투를 시도했다:

확인된 침해 대상:

  • 행정안전부: GPKI(공무원 행정전자서명) 체계 크래킹 코드 발견
  • 외교부: 메일 시스템 소스코드 확보 (개발망에서 유출 추정)
  • 통일부/해양수산부: ‘온나라’ 시스템 접근 기록 확인
  • 방첩사: 내부 시스템 침투 시도 흔적

3.2 민간 부문 피해 현황

▲행정안전부 ▲외교부 ▲통일부 ▲카카오 ▲KT ▲LG유플러스 등 국내 다수 정부기관과 기업의 내부 시스템 접근에 필요한 인증 토큰과 서버 소스 등이 다수 발견됐다는 분석 결과가 나왔다.

통신사 침해의 특별한 의미:

  • SK텔레콤의 경우 HSS(Home Subscriber Server) 서버 침해를 통한 대규모 유심 정보 유출 사건과의 연관성 제기
  • 통신 인프라 침해를 통한 국가 핵심 정보 수집 가능성

4. 악성코드 생태계 분석: SPAWN 계열 도구

4.1 SPAWN 악성코드군 특성

SLIME68/UNC5221 그룹은 정교한 악성코드 생태계를 구축하여 장기간 은밀한 활동을 수행했다:

SPAWN 계열 구성요소:

  • SPAWNANT: 설치 및 지속성 확보 담당
  • SPAWNMOLE: 터널링 및 통신 도구
  • SPAWNSNAIL: SSH 백도어
  • SPAWNCHIMERA: 고도화된 원격 접근 도구

4.2 파일리스 공격 기법

정상 가상사설망(VPN) 흐름에 숨어드는 ‘SSL_read 후킹’, 디스크에 흔적을 남기지 않는 ‘파일리스(fileless) 백도어’, 특정 바이트열을 신호로 삼는 ‘매직 바이트(magic byte) 트리거’, iptables 기반 흔적 삭제까지, 세부 구현이 기존 중국계 침투 전술과 유사하다는 분석이 나왔다.

이러한 기법들은 탐지를 회피하고 장기간 시스템에 잠복하는 것을 목적으로 설계되었다.

5. 대응 현황 및 정부 조치

5.1 사전 탐지 및 대응

국가정보원과 한국인터넷진흥원(KISA)는 이 보고서가 공개되기 전 해킹을 미리 인지해 정부 부처들과 기업들에 긴급 대응령을 내렸다는 점은 주목할 만하다. 이는 국내 사이버보안 대응 체계가 일정 수준의 사전 탐지 능력을 보유하고 있음을 시사한다.

5.2 후속 조치 및 개선 방향

즉각적 대응 조치:

  • 이반티 장비 사용 기관 대상 긴급 패치 적용 지시
  • ICT(Integrity Checker Tool)를 통한 시스템 무결성 검사 실시
  • 침해 가능성이 있는 시스템의 구성 초기화 및 포렌식 분석

중장기 개선 방안:

  • 외산 보안 장비에 대한 의존도 검토 및 다변화 전략 수립
  • 제로데이 취약점 대응을 위한 선제적 모니터링 체계 강화
  • 정부-민간 협력 기반의 위협 정보 공유 체계 고도화

6. 국제 사이버보안 환경에 미치는 함의

6.1 동북아 사이버 위협 지형 변화

이번 사건은 한반도 주변 사이버 위협이 더 이상 북한에만 국한되지 않음을 보여준다. 중국 연계 APT 그룹의 한국 대상 공격 증가는 동북아 지정학적 긴장과 밀접한 관련이 있을 것으로 분석된다.

지역적 위협 특성:

  • 한국, 대만, 일본을 동시 표적으로 하는 광역 캠페인 실행
  • 각국의 정부기관과 핵심 인프라에 대한 체계적 침투 시도
  • 장기간 잠복을 통한 전략적 정보 수집 활동

6.2 공급망 보안의 중요성 재조명

이번 사건에서 이반티 VPN 장비 취약점이 핵심 침투 경로로 활용된 점은 ICT 공급망 보안의 중요성을 다시 한번 부각시켰다. Ivanti VPN을 통한 대용량 Outbound 통신이 확인되는 취약점은 단순히 VPN에 로그인해 가상 IP를 할당 받는 것이 아닌 VPN 장비 자체의 권한을 탈취해 공격을 수행하는 복잡한 유형입니다라는 분석처럼, 외산 보안 장비에 대한 의존도가 오히려 새로운 위험 요소가 될 수 있음을 시사한다.

7. 향후 전망 및 권고사항

7.1 위협 환경 전망

단기 전망 (6개월 내):

  • SLIME68/UNC5221 그룹의 지속적인 활동 예상
  • 이반티 취약점 PoC 공개 시 광범위한 opportunistic 공격 가능성
  • 유사한 중국 연계 그룹들의 한국 대상 공격 증가 우려

중장기 전망 (1-2년):

  • 국가 간 사이버 공간에서의 경쟁 심화
  • AI 기술을 활용한 공격 기법의 고도화
  • 공급망을 통한 간접 침투 방식의 증가

7.2 조직별 대응 방안

정부기관 대상 권고사항:

  1. 제로데이 대응 체계 강화: 벤더 독립적인 이상 탐지 시스템 구축
  2. 네트워크 세분화: 핵심 시스템과 일반 업무망의 물리적 분리 강화
  3. 침해 대응 역량 향상: 정기적인 사이버 공격 시뮬레이션 실시

기업 대상 권고사항:

  1. 공급업체 보안 평가: 외산 보안 장비 도입 시 엄격한 보안성 검토
  2. 모니터링 강화: VPN 장비 등 경계 보안 시스템에 대한 실시간 모니터링
  3. 인시던트 대응 계획 수립: 공급망 침해 상황을 고려한 대응 계획 마련

결론

이번 한국 정부 해킹 사건은 현대 사이버보안 위협의 복잡성과 정교함을 보여주는 대표적 사례다. 초기 북한 소행으로 추정되었던 공격이 실제로는 중국 연계 APT 그룹 SLIME68의 소행일 가능성이 높다는 분석 결과는 위협 인텔리전스의 중요성을 재확인시켜 준다.

핵심 교훈:

  • 귀속 분석(Attribution)의 어려움과 성급한 결론의 위험성
  • 공급망 보안의 중요성과 외산 장비 의존도 리스크
  • 국가 간 사이버 공간에서의 경쟁 심화와 다변화

향후 한국의 사이버보안 정책은 이러한 복잡한 위협 환경을 고려하여 더욱 포괄적이고 선제적인 접근 방식을 채택해야 할 것이다. 특히 정부-민간-국제 협력을 바탕으로 한 통합적 대응 체계 구축이 무엇보다 중요하다고 하겠다.

참고문헌

  • TeamT5, “대한민국 군과 정부 기관 대상 피싱 공격” 보고서, 2025
  • 고려대학교 정보보호대학원, “APT-Down Revisited” 보고서, 2025
  • S2W, “APT Down: The North Korea Files, 프랙 공개 데이터 분석 및 위협 배후 추적”, 2025
  • Mandiant, “Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation”, 2025
  • 각종 사이버보안 전문매체 보도자료 종합

본 분석은 2025년 8월 26일 기준 공개된 정보를 바탕으로 작성되었으며, 수사기관의 공식 발표나 추가 정보 공개에 따라 내용이 수정될 수 있습니다.

SLIME68한국정부해킹

댓글 남기기

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.