✅ 보고서 제목: APT Down: The North Korea Files, 프랙(Phrack) 잡지 공개 데이터 분석 및 위협 배후 추적

✅ 보고서 요약:

S2W 위협인텔리전스센터(TALON)는 2025년 8월 DEFCON 행사장에서 배포된 프랙(Phrack) 잡지에 실린 APT Down: The North Korea Files 아티클과 함께 공개된 관련 데이터를 입수해 분석을 진행했습니다.

• Phrack Magazine: 1985년 미국에서 창간된 세계적으로 가장 오래된 해킹 전문 전자 매거진

📌 유출 파일 분석 결과

- 내부 데이터에 대한 상세 분석을 통해 한국 정부 및 기업 대상 해킹 정보가 다수 확인되었습니다.

(Government)

- 웹메일 솔루션 관련 프로젝트 소스 코드가 다수 존재하며, 외교부에서 사용되는 것으로 추정되는 설정 정보 및 소스 코드가 확인되었습니다.

- 한국 행정전자서명 인증서 GPKI 관련 문서, 소스 코드, 인증서 파일 등이 확인되었습니다.

- 한국 정부 클라우드 업무관리시스템 로그인 소스 코드 및 로그 기록이 확인되었습니다.

- 한국 정부 관련 Phishing 메일 발송 정황으로 추정되는 로그가 확인되었습니다.

(Telecom)

- 국내 통신사에 대한 내부 계정 정보, 인증서 등이 확인되었습니다.

(ALL)

- config.php 파일 내 Anti-Virus IP Blacklist 목록에서 특정 IP 대역이 포함된 소스 코드가 확인되었습니다.

- 국내 주요 기업 도메인을 대상으로 하는 Phishing 공격 및 도구가 확인되었습니다.

📌 배후 추적 결과

- S2W 위협 인텔리전스 센터(TALON) 분석 결과, 보고서에서 언급하고 있는 공격자 ‘KIM’의 배후가 북한 배후 위협그룹인 Kimsuky 그룹일 가능성이 높지 않다고 판단되며, S2W는 해당 배후를 UNSI-018로 명명하여 추적하였습니다.

(인프라 활용 패턴)

- 공격자 KIM이 사용한 Phishing 인프라(도메인 및 IP)가 과거 Kimsuky 그룹이 사용한 것과 일부 중복되는 부분이 확인되었지만, 인프라 사용 시기와 Phishing 인프라 구성 방식은 기존 Kimsuky 그룹이 사용하던 것과 다르다고 판단되었습니다.

- 공개된 evilgophish 오픈소스에서 제공하는 Apache 구성 파일을 사용하여 Phishing 인프라를 구성한 것으로 확인되지만, Kimsuky 그룹이 해당 오픈소스를 사용한 이력이 확인되지 않았습니다.

- 공격자는 Phishing 메일 전달 시 비콘 이미지를 전달하여 메일의 열람 여부를 확인하도록 설계하였으며, 이러한 방식은 과거 Kimsuky 그룹이 사용한 이력이 존재합니다.

(GPKI 탈취 정황)

- Kimsuky 그룹이 사용하는 Troll Stealer 악성코드의 탈취 항목 중 GPKI 키가 포함되지만, 유출된 데이터(GPKI 키)가 해당 악성코드에 의해 탈취되었다는 정황을 확인하기 어렵다고 판단됩니다.

(환경 분석) 유출된 데이터 중 공격자 업무 환경을 분석한 결과, 공격자는 중국어 기반 환경에 익숙한 인물로 추정됩니다.

- 중국의 대표적 검색 엔진 Baidu, 사이버 보안 관련 블로그 CSDN, Freebuf, 비디오 스트리밍 플랫폼 AcFun, Bilibili 등의 중국어 기반 플랫폼을 번역 없이 사용하며, 중국어 외의 언어는 구글 번역기를 통해 중국어 간체로 번역하였습니다.

- Baidu Cloud를 사용한 것이 확인되었으며, Baidu Cloud는 중국 신분증, 여권 등의 방식으로 신분 인증이 완료된 Baidu 계정 보유자에게만 제공하는 제한된 Cloud 서비스입니다.

- 소스코드 내 주석과 개인적 사용 목적 문서를 중국어로 작성하였습니다.

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.