GPKI 침해 사고: '디지털 마스터키'가 털린 지금, 우리에게 필요한 단 하나 '제로 트러스트'

이번 GPKI 침해 사고는 낡은 방어 모델의 한계를 명확히 보여주었습니다

솔직히 말해서, 이번 GPKI 침해 사고는 그냥 ‘사건’ 하나 터진 게 아닙니다. 이건 우리 국가 디지털 인프라가 얼마나 근본적이고 구조적으로 취약했는지, 그 밑바닥까지 전부 드러낸 정말 중대한 분수령이에요

이번 공격을 뜯어보면 핵심적인 실패 지점이 명확하게 보입니다. 낡아빠진 ‘경계 방어’에만 너무 의존했고, 인증 체계는 부실했으며, 정작 중요한 내부는 누가 돌아다니는지도 모르는 ‘깜깜이’ 상태였죠.

그래서 이 보고서는 단순히 ‘당했다’는 얘기만 하는 게 아닙니다. **‘제로 트러스트 아키텍처(Zero Trust Architecture)’**로의 전면 전환, XDR을 통한 전방위적인 감시, 그리고 AiTM 같은 최신 피싱도 막아내는 인증 방식 도입, 마지막으로 위협 정보를 기반으로 한 능동적인 방어. 이 네 가지를 핵심 기둥으로 제시합니다. 무너진 디지털 신뢰를 회복하고 우리 사이버 주권을 지키려면, 이건 정말… 시급하게 추진해야 할 전략적 과제입니다.

제1부: 대체 누가, 어떻게 우리 안방을 털었나?

이 장에서는 공격이 어떻게 이루어졌는지 차근차근 복기해보고, 공격자는 누구인지, 그리고 왜 배후를 밝히는 게 이렇게 복잡한지 그 속사정을 파헤쳐 보겠습니다.

1.1 위협 행위자 프로파일: 김수키(APT43)와 그들의 작전

배후와 임무: 범인은 ‘김수키(Kimsuky)’, 또는 APT43으로 불리는 조직으로 보입니다. 이들은 북한 정찰총국(RGB)의 지휘를 받는 국가 지원 해킹 그룹이죠. 주된 임무는 북한의 지정학적, 군사적 목표를 위한 전략 정보를 빼내는 겁니다.
TTPs(전술, 기술, 절차)의 진화: 예전처럼 HWP 파일 공격만 생각하면 안 됩니다. 이젠 정말 교묘해져서 MS 오피스 문서, CHM, LNK, 심지어 ONE 파일까지… 온갖 도구를 동원해 정교한 스피어 피싱을 합니다. 우리가 방어하면 쟤들은 또 다른 길을 찾는, 끊임없는 적응의 결과죠.
이중 임무 (첩보 + 자금 마련): 아, 이게 정말 골치 아픈 지점입니다. APT43의 가장 큰 특징은 암호화폐를 훔치는 등 ‘돈벌이’ 사이버 범죄도 같이 한다는 겁니다. 다른 그룹(APT38)이 정권 자금을 대는 게 목적이라면, 얘들은 자기들 첩보 활동비를 스스로 버는 셈이죠. 이건 뭐, 국가의 직접 지원에 의존하지 않으니 제재로 막기도 어렵고… 자급자족이 가능한, 아주 지속적인 작전 모델을 만들어 버린 겁니다.
북한 사이버 조직 간의 협력: 맨디언트 정보를 보면, 얘들 혼자 뛰는 것도 아니에요. 다른 북한 해커 그룹과 인프라나 도구를 공유합니다. 국가 차원에서 조율된 전략이 있다는 뜻이죠.

김수키의 작전 모델은 국가 정보기관과 조직범죄 신디케이트의 무서운 하이브리드입니다. 데이터는 이들의 주 목표가 국가가 후원하는 첩보 활동임을 보여주지만, 동시에 그 작전 자금을 스스로 조달하기 위해 암호화폐를 훔치죠. 전통적인 국가 행위자는 예산으로 움직이고, 범죄 조직은 자급자족합니다. 이 둘을 합쳐버리니, 정말 회복력 있고 지속적인 작전 순환고리가 만들어진 겁니다. 사이버 범죄로 돈 벌어서 인프라 사고, 그걸로 첩보 활동하고, 그 과정에서 또 돈 될 만한 걸 찾고. 이게 이들을 막기 어려운 이유입니다. 단순히 국가 배후의 자금줄을 막는 걸로는 안 되고, 이들을 ‘국가 안보 위협’인 동시에 ‘범죄 기업’으로 보고 그 수익 흐름까지 차단하는 이중 전략이 필요합니다.

1.2 공격 흐름 재구성: 성문이 뚫리고 ‘디지털 마스터키’가 털리기까지

공격이 어떻게 진행됐는지 한번 시간순으로 따라가 보시죠.

최초 접근 (디지털 정문 공략): 공격자들은 ‘아이반티 커넥트 시큐어’라는 원격 접속 VPN 장비의 이미 알려진 보안 취약점을 파고들었습니다. VPN은 뭐… 태생적으로 인터넷에 노출되어 있으니, 이런 약점을 찾는 국가 지원 해커들에게는 그야말로 ‘맛집’이죠. 여러 취약점을 연쇄적으로 터뜨려서 초기 접근 권한을 획득한 걸로 보입니다.
거점 확보 (명령 및 제어): 일단 안으로 들어오자마자 ‘코발트 스트라이크(Cobalt Strike)’ 프레임워크를 심었습니다. 이건 원래 전문가용 침투 테스트 도구인데, _해커들이 ‘비컨(beacon)‘을 통해 지속적으로 명령을 내리고(C2), 감염된 시스템을 원격 조종하며 데이터를 빼돌리는 데 아주 널리 악용_됩니다. 자기들 아지트를 만든 거죠.
권한 상승 및 계정 탈취 (AiTM 피싱 캠페인): 이제 공무원들의 계정 정보가 필요했겠죠. 여기서 ****‘중간자 공격(AiTM)’****이라는, 와… 정말 정교한 피싱 기법을 씁니다. 이건 그냥 가짜 사이트가 아니에요. 사용자와 진짜 로그인 페이지 사이에 프록시를 만들어서, 아이디와 비번은 물론이고 MFA(다중 인증)를 통과한 뒤 나오는 **‘세션 쿠키’**까지 가로챕니다. 이걸로 공격자는 그 공무원으로 완벽하게 위장해서 인증된 접근 권한을 확보했습니다.

중간자 공격(AiTM)
목표 달성 (GPKI 인증서 유출): 합법적인 계정 권한을 손에 쥔 공격자들은 정부 내부망을 마음껏 돌아다녔습니다. 그들의 최종 목표는? ‘정부 공개키 기반구조(GPKI)’ 시스템이었습니다. 공격자 컴퓨터에서 136백운규001_env.key 같은 실제 GPKI 파일이 나왔다는 건, 이 디지털 인증서가 털렸다는 결정적인 증거입니다.

정부 공개키 기반구조(GPKI)’ 시스템
지속성 유지 및 탐지 회피: 마지막으로, 나중에도 또 들어오려고 자신들만의 ‘비밀 통로(백도어)‘를 설치하고, 보안 도구에 안 걸리려고 운영체제 깊숙한 곳에 숨는 ‘투명 망토(커널 수준 루트킷)‘까지 설치했습니다.

공격은 VPN 취약점 공략에서 시작해 AiTM 피싱을 거쳐 최종 목표인 GPKI 인증서 탈취로 이어졌습니다.

1.3 배후를 둘러싼 딜레마: 중국의 그림자

아, 그런데 여기서 좀 이상한 게 나옵니다. 공격 기법은 분명 김수키 같은데, 포렌식을 해보니 중대한 이상 징후들이 발견됐어요.

지리적 위치: C2 서버나 접속 지점이 중국입니다.
언어: 공격자가 한국어 문서를 중국어로 번역하는 도구를 썼고, 시스템에서 중국어 파일이 나왔습니다.
활동 시간: 활동 패턴(근무 시간, 공휴일)이 북한이 아니라 중국의 업무 시간에 더 가깝습니다.

이게 대체 뭘까요? 몇 가지 가설이 나옵니다.

가설 1 (중국 경유): 북한 해커들이 인터넷 인프라가 더 좋고 작전 환경이 편한 중국(예: 단둥)에 아예 거점을 두고 활동했을 가능성. 이게 가장 단순한 설명이죠.
가설 2 (위장 작전, False Flag): 아니면, 고도로 숙련된 중국 해커 그룹이 일부러 김수키 TTP를 흉내 내서, 배후를 오인하게 만들고 북한에 책임을 떠넘기려 했을 수도 있습니다.
가설 3 (협력 또는 아웃소싱): 혹은 북한과 중국 정보기관의 공동 작전이거나, 북한이 중국의 해킹 용병에게 하청을 줬을 수도 있습니다. 실제로 여러 국가 지원 그룹 간의 협력은 점점 늘어나는 추세입니다.

제 생각에는, 이 **‘배후 규명의 전략적 모호성’**은 단순한 분석의 어려움이 아니라 의도된 전술일 수 있습니다. 이 정도 수준의 해커들이 자기들 흔적을 모를 리 없죠. 이렇게 상충되는 증거를 남긴 건 우연이 아닐 겁니다.

이 모호함이 주는 효과는 명백합니다. _피해국의 대응을 지연시키고 복잡하게 만들죠. 대한민국 정부는 대체 어느 나라에 외교적으로 항의해야 합니까? 누굴 제재해야 하죠? 동맹국들과 공조는 어떻게 하고요? 결국 공격자는 이 ‘배후 규명 과정’ 자체를 무기로 쓰는 겁니다. 불확실성을 키우고, 대응을 늦추고, 국가 간의 불화를 조장_하죠.

따라서 우리의 방어 전략은 ‘누가 때렸는지’를 따지는 데 매몰될 게 아니라, 범인이 누구든 상관없이 기술적 방어와 피해 복구에 즉각 초점을 맞추는, 즉 ‘배후 규명에 구애받지 않는(attribution-agnostic)’ 복원력을 갖춰야 합니다.

제2부: 왜 속수무책으로 당했나 (시스템적 실패와 디지털 신뢰의 위기)

이제 “무슨 일이 일어났나"에서 “왜 그게 가능했는가"로 초점을 옮겨보겠습니다. 공격 성공의 발판이 된 우리 시스템의 근본적인 문제들을 짚어봅니다.

2.1 무너진 경계: ‘성과 해자’ 방어 모델의 허상

단일 실패 지점(Single Point of Failure): 우리의 전체 보안 모델은, 비유하자면, ‘성과 해자(Castle and Moat)’ 모델이었습니다. 신뢰할 수 있는 ‘내부’ 네트워크를 보호하는 강력한 ‘경계’(여기서는 VPN 게이트웨이)만 튼튼하면 안은 안전하다는 거죠. 근데 그 성문(VPN)이 뚫리니까 그냥 끝이었습니다. 이 경계가 견고한 벽이 아니라, 그냥 뚫리는 ‘막’에 불과했다는 게 증명된 겁니다.
암묵적 신뢰 (공격자의 가장 큰 아군): 일단 내부에 진입한 공격자는 대부분 ‘신뢰받는’ 환경에서 활동했습니다. 기존 보안 태세는 외부에서 오는 트래픽만큼 내부에서 도는 트래픽을 깐깐하게 감시하도록 설계되지 않았거든요. “일단 들어왔으면 우리 편"이라는 이 암묵적인 신뢰가, 공격자가 최소한의 저항으로 목표(GPKI)를 향해 ****수평적으로 이동(lateral movement)****할 수 있게 만든 가장 큰 아군이었습니다. ‘내부는 안전하다’는 이 핵심 가정, 정말 위험할 정도로 시대에 뒤떨어진 발상이었습니다.

‘성과 해자’ 모델은 경계가 뚫리면 내부 전체가 무방비 상태가 되는 치명적 약점이 있습니다.

2.2 인증의 공백: 최신 피싱이 레거시 MFA를 무력화하는 방식

MFA 보안에 대한 환상: “우리는 MFA(다중 인증) 쓰니까 괜찮아.” 혹시 이렇게 안심했나요? 그게 환상이었습니다. 이번 공격은 최신 피싱 위협에 대해 우리가 얼마나 잘못 알고 있었는지 보여줍니다. SMS나 앱 기반 MFA는 단순 비번 탈취는 막을 수 있어도, 1.2절에서 말한 AiTM(중간자 공격) 같은 실시간 세션 하이재킹 공격에는 속수무책입니다.
AiTM의 기술적 분석: 공격자의 피싱 사이트는 ‘프록시’로 작동했습니다. 피해자의 계정 정보와 MFA 요청을 진짜 사이트로 투명하게 전달했죠. 피해자가 성공적으로 인증을 마치자마자, 프록시는 그 결과로 나온 ‘세션 쿠키’를 가로챘습니다. **암호가 아니라 이 쿠키야말로 인증된 세션을 증명하는 ‘열쇠’**입니다. 이걸 훔쳐서 MFA 자체를 그냥 우회해버린 겁니다.
정부의 실패 인정: 정부가 뒤늦게 ARS 전화 인증을 추가하는 대응책을 내놨죠. 이건 기존 MFA가 불충분했다는 걸 사실상 인정한 겁니다. 하지만 솔직히 말하면, 이것도 임시방편에 불과합니다. 더 정교한 공격은 이 전화 인증마저 자동화할 수 있으니까요.

2.3 성벽 안의 암흑: 내부 가시성 및 통제 능력의 치명적 부재

탐지되지 않은 수평 이동: 더 심각한 건, 공격자들이 최초 진입점(VPN 서버)에서 최종 목표(GPKI 시스템)까지 휘젓고 다니는 동안… 아무도 몰랐다는 겁니다. 내부 네트워크를 제대로 모니터링하고 구역을 나누는(segmentation) 작업이 심각하게 부재했다는 뜻입니다. 경계 방어에만 집중한 전통적인 보안 도구들은, 네트워크 내부에서 옆으로 이동하는(east-west) 트래픽을 감시하는 데는 한계가 명확합니다.
EDR/XDR의 필요성: **EDR(엔드포인트 탐지 및 대응)**이나 XDR(확장된 탐지 및 대응) 솔루션이 없었기 때문에, 보안팀은 감염된 기기에서 돌아가는 악성 프로세스(예: 코발트 스트라이크 비컨)나 내부의 비정상적인 네트워크 연결을 파악할 ‘눈’이 없었습니다. 이건 뭐, 성벽 안에 이미 도둑이 들어왔는데 파수꾼이 아예 없는 거나 마찬가지였습니다.

2.4 근본적인 위협: 공개키 기반구조(PKI) 침해의 파급 효과

첩보를 넘어선 시스템적 파괴 위협: GPKI 인증서 탈취는 단순한 정보 유출이 아닙니다. 이건 대규모 혼란을 일으킬 수 있는 ‘무기’를 쥔 것과 같습니다. GPKI 시스템은 모든 디지털 정부 활동의 신뢰를 보증하는 ‘뿌리’이기 때문입니다.
예상 공격 시나리오: 이 **‘디지털 마스터키’**를 손에 쥔 적대 세력은 무슨 짓이 가능할까요?
1. 모든 공무원 사칭: 가짜 명령을 내리고, 가짜 공문서에 ‘진짜’ 서명을 해서 유포하고, GPKI 인증이 필요한 모든 시스템에 접근할 수 있습니다.
2. 허위 정보 유포: 사회적 공황을 일으키거나 금융 시장을 조작하려고 가짜 공공 경보나 보도자료를 만들어서 ‘공식적으로’ 배포할 수 있습니다.
3. 핵심 기반 시설 파괴: 만약, 만약에 이 GPKI 인증서가 국가 기반 시설(전력, 수도, 교통 등)의 제어 시스템(ICS/SCADA) 접근에도 쓰인다면? 이건 물리적 파괴로 이어질 수 있는 재앙적인 결과를 초래합니다.
4. 공공 신뢰 붕괴: 시스템이 뚫렸다는 사실 하나만으로도 디지털 정부 서비스에 대한 국민의 신뢰가 뿌리째 흔들리고, 사람들이 국가와의 디지털 소통을 거부하게 될 수 있습니다. 정부가 직접 침해 사실을 인정한 것 자체가 이 위협이 현실임을 방증하는 겁니다.

GPKI 침해는 위협의 본질을 수동적인 ‘정보 수집’에서 능동적인 ‘국가 수준의 조작’으로 격상시킵니다. 전통적인 해킹은 데이터를 훔치는 첩보 활동이고, 그 가치는 공격자가 ‘무엇을 알게 되었는가’에 있죠. 하지만 GPKI 시스템은 정부 디지털 활동의 진본성과 무결성을 보증하는 기반입니다. GPKI 키를 훔친다는 건, 단지 문서를 읽는 걸 넘어, 합법적인 정부로서 문서를 작성하고 승인할 수 있는 능력을 획득했다는 뜻입니다.

이는 공격자가 국가 권력의 핵심 요소인 ‘정보’와 ‘군사’ 영역에 직접적인 영향을 미칠 수 있게 함을 의미합니다. 신뢰성 있는 가짜 지령을 내릴 수 있으니까요. 따라서 이건 사이버 보안을 초월하는 전략적 수준의 위협이며, 정보전과 디지털을 통한 물리적 효과까지 가능한, 명백한 국가 안보 위기입니다. 그러므로 이 대응은 IT 부서가 아니라 국가 안보 수뇌부가 주도해야 합니다.

제3부: 청사진 - 이대로는 안 된다, 어떻게 바꿀 것인가

자, 그럼 2부에서 짚어본 이 끔찍한 실패 요인들을 어떻게 해결해야 할까요? 여기서는 현대적인 보안 패러다임을 활용한, 포괄적이고 다층적인 방어 전략의 청사진을 제시합니다.

3.1 제로 트러스트(Zero Trust) 의무화: 새로운 보안 패러다임

핵심 철학: “절대 신뢰하지 말고, 항상 검증하라”: 결론부터 말하죠. 실패한 ‘성과 해자’ 모델은 당장 폐기하고 **제로 트러스트 아키텍처(ZTA)**를 도입해야 합니다. 이 패러다임은 네트워크가 ‘이미 뚫렸다’고 가정합니다. 그리고 네트워크 위치(내부든 외부든)에 관계없이, 모든 리소스에 접근을 요청하는 모든 사용자, 모든 기기, 모든 애플리케이션에 대해 아주 엄격한 검증을 강제합니다.
국가 정책과의 연계: 다행히 이건 뜬구름 잡는 얘기가 아닙니다. 대한민국 정부가 이미 발표한 ‘제로 트러스트 가이드라인 1.0’이나 구현을 위한 성숙도 모델을 담은 ‘2.0’ 버전의 전략적 방향과도 정확히 일치합니다. 문제는 ‘실행’이죠.
핵심 구현 요소:
- ID(Identity): 모든 사용자(사람과 기계)는 강력하고 ‘지속적으로’ 인증되어야 합니다. 한 번 로그인했다고 끝이 아니란 거죠.
- 기기(Devices): 모든 기기는 목록화되고, 접근 허용 전에 보안 상태(패치 수준, 실행 중인 프로그램 등)를 검증받아야 합니다.
- 네트워크(Network): 네트워크는 그냥 ‘적대적인 공간’으로 간주합니다. 모든 트래픽은 암호화하고, 수평 이동을 막기 위해 반드시 네트워크를 잘게 쪼개야 합니다(3.3절 참조).
- 최소 권한 접근(Least-Privilege Access): 사용자와 앱에는 기능을 수행하는 데 필요한 ‘절대 최소한의’ 권한만, ‘가장 짧은 시간 동안만’ 부여합니다.

제로 트러스트는 ‘내부’와 ‘외부’의 구분을 없애고 모든 접근 요청을 검증하는 새로운 보안 패러다임입니다.

표 1: 보안 모델 비교 분석
이 표는 우리가 왜 변해야 하는지 아주 명확하게 보여줍니다.

특징 전통적 경계 모델 (과거) 제로 트러스트 아키텍처 (현재/미래)

핵심 철학 “신뢰하되, 검증하라” “절대 신뢰하지 말고, 항상 검증하라”

보안 초점 경계 (네트워크 외부) 데이터, 자산, 리소스 (모든 곳)

네트워크 가정 ‘내부’는 안전하고 신뢰할 수 있음 네트워크는 항상 적대적이며 침해됨

주요 방어선 방화벽, VPN, IDS/IPS 강력한 ID 인증, 기기 검증, 마이크로세그멘테이션

접근 제어 넓은 네트워크 접근 허용 (내부자 우대) 최소 권한 및 세분화된 접근 (모든 요청)

최대 취약점 내부자 위협 및 수평 이동 복잡한 구현 및 정책 관리 (기술로 극복)

특징	전통적 경계 모델 (과거)	제로 트러스트 아키텍처 (현재/미래)
핵심 철학	“신뢰하되, 검증하라”	“절대 신뢰하지 말고, 항상 검증하라”
보안 초점	경계 (네트워크 외부)	데이터, 자산, 리소스 (모든 곳)
네트워크 가정	‘내부’는 안전하고 신뢰할 수 있음	네트워크는 항상 적대적이며 침해됨
주요 방어선	방화벽, VPN, IDS/IPS	강력한 ID 인증, 기기 검증, 마이크로세그멘테이션
접근 제어	넓은 네트워크 접근 허용 (내부자 우대)	최소 권한 및 세분화된 접근 (모든 요청)
최대 취약점	내부자 위협 및 수평 이동	복잡한 구현 및 정책 관리 (기술로 극복)

3.2 XDR을 통한 전방위적 가시성 및 자동화된 대응 확보

보안 스택 통합: 제로 트러스트를 강제하려면, 일단 ‘봐야’ 합니다. 뭐가 돌아가는지 알아야 막죠. XDR(확장된 탐지 및 대응) 플랫폼은 엔드포인트(EDR), 네트워크, 클라우드, 이메일, ID 시스템 등… 모든 보안 계층의 데이터를 싹 긁어모으고 서로 연관시켜서 이 ‘가시성’을 제공합니다.
AI 기반 위협 추적(Threat Hunting): XDR은 AI와 머신러닝을 써서 이 방대한 데이터를 분석합니다. 그리고 GPKI 침해 사고 때처럼 ‘수평 이동’을 시도하는 미묘한 패턴이나 이상 징후를 자동으로 탐지해냅니다. “어? 이거 이상한데?” 하는 걸 기계가 잡아내는 거죠. 방어 태세를 사후 대응에서 사전 예방으로 바꾸는 겁니다.
자동화된 대응 플레이북: 위협이 탐지되면 XDR은 미리 짜둔 각본(플레이북)대로 자동 대응을 실행할 수 있습니다. 예를 들어, 코발트 스트라이크 비컨이 딱 탐지되면, 시스템이 알아서 그 감염된 기기를 네트워크에서 격리시키고, 방화벽에서 C2 통신을 차단하고, 해당 사용자 계정을 무효화하는 조치를… 단 몇 초 만에 수행합니다. 이게 대응 시간을 극적으로 줄이고 침해를 억제하는 데 결정적인 역할을 합니다.

3.3 침해 확산 방지: 마이크로세그멘테이션 구현

성벽 내부에 또 다른 벽 구축: 이것도 정말 정말 중요합니다. **‘마이크로세그멘테이션’**은 제로 트러스트 원칙을 네트워크에 실제로 적용하는 핵심 기술입니다. 쉽게 말해, 네트워크를 개별 앱이나 워크로드 수준까지 아주 잘게 쪼개서 고립된 구역으로 나누는 겁니다.
수평 이동 차단: 이 구역들 사이의 통신은 기본적으로 ‘전부 차단’이고, 오직 명시적인 정책에 의해서만 허용됩니다. 만약 이 기술이 적용됐다면? 공격자가 VPN 서버를 뚫었더라도 GPKI 시스템이 있는 구역으로는 아예 접근조차 못 했을 겁니다. 두 구역 사이에 합법적인 트래픽 경로가 없으니까요. 이 기술은 사고가 터져도 피해를 작은 영역에 가둬서, 사소한 침입이 재앙적인 실패로 번지는 것을 효과적으로 막아줍니다. 문 하나 뚫렸다고 안방까지 다 털리는 일은 막아야죠.

마이크로세그멘테이션은 네트워크를 잘게 쪼개어 공격자의 수평 이동을 원천 차단합니다.

3.4 피싱 불가능한 기반 구축: FIDO/WebAuthn 도입의 당위성

AiTM에 대한 기술적 해결책: 그럼 그 교묘한 AiTM 피싱은 대체 어떻게 막을까요? 답은 FIDO/WebAuthn 표준이 바로 그 기술적 해결책입니다.
작동 원리: 등록할 때 사용자 기기(하드웨어 보안 키나 스마트폰)에 고유한 암호화 키 쌍(공개키/개인키)이 만들어집니다. 개인키는 절대 그 기기 밖으로 나가지 않죠. 로그인할 때 서버가 ‘챌린지(Challenge)‘를 보내면, 기기가 그걸 개인키로 서명해서 보냅니다. 서버는 공개키로 ‘아, 얘 맞네’ 하고 검증하죠.
피싱 저항성: 이 암호화 키는 합법적인 웹사이트의 ‘도메인’에 귀속됩니다. 그래서 다른 도메인을 가진 피싱 사이트는 유효한 서명을 요청할 수가 없어요. 사용자 기기가 그냥 응답을 안 해버립니다. 이건 AiTM 공격 체인을 암호학적으로 그냥 무력화시켜 버립니다. 모든 중요 정부 시스템에 이건 ‘필수’입니다, 필수. 정부가 생체 인증을 쓰는 모바일 신분증으로 가려는 계획도 이런 방향성의 긍정적인 신호로 봅니다.
비밀번호나 일회용 코드처럼 ‘공유 가능한 비밀 정보’를 아예 없애버리는 방식의 시스템

3.5 기반 보안 강화: SBOM을 통한 소프트웨어 공급망 무결성 의무화

근본 원인 해결: 생각해보니, 이번 사태의 애초 시작은 서드파티 소프트웨어 제품(아이반티 VPN)의 취약점이었습니다. 우리가 만들지도 않은 프로그램 때문에 다 뚫린 거죠. 소프트웨어 공급망에 내재된 이 막대한 위험을 해결해야 합니다.
SBOM의 역할: ****SBOM(소프트웨어 자재 명세서)****은 말 그대로 소프트웨어 안에 들어간 모든 구성 요소, 라이브러리, 종속성에 대한 공식적인 목록입니다.
투명성 의무화: 정부는 모든 소프트웨어 공급업체에게 조달 조건으로 이 SBOM 제출을 의무화해야 합니다. 그래야 (아이반티 사례처럼) 새로운 취약점이 딱 터졌을 때, 우리 보안팀이 SBOM 데이터베이스를 바로 조회해서 “아! 정부 내 이 시스템, 저 시스템에 그 부품이 쓰였구나!” 하고 즉시 파악하고 신속하게 패치를 할 수 있습니다. 이건 미국이나 EU의 세계적인 추세와도 맞고, 이미 나온 국내 가이드라인도 있습니다.
SBOM(소프트웨어 자재 명세서)

3.6 전투 준비된 인력 양성: 적대적 시뮬레이션과 인재 개발

규제 준수를 넘어 전투 준비 태세로: 기술만으론 안 됩니다. 결국 사람이죠. 보안은 서류 작업이나 이론 훈련으로 끝나는 게 아닙니다. 정부는 현실적이고 지속적인 적대적 시뮬레이션(레드팀 대 블루팀 훈련) 프로그램을 돌려야 합니다.
- 레드팀(Red Team): 김수키가 쓰는 것과 똑같은 TTP를 사용해서 우리 방어 체계를 실제로 공격하고 시험하는 팀입니다.
- 블루팀(Blue Team): 이 레드팀의 공격을 탐지하고 막아내는 내부 보안팀이고요.
- 퍼플팀(Purple Team): 둘 사이의 소통을 도와서 교훈을 뽑아내고 방어 체계를 개선하는 역할입니다.
국가 훈련 프로그램 활용: 이런 내부 훈련에 더해, 해킹 메일이나 DDoS 같은 다양한 시나리오로 범부처가 협력하는 정부 주도 사이버 위기 대응 모의 훈련에도 적극 참여해야 합니다.
인적 자본에 대한 투자: ‘국가 사이버안보 전략’이나 ‘사이버 10만 인재 양성 방안’ 좋습니다. 말 그대로 엘리트 사이버 보안 인재를 길러내기 위한 강력한 국가 전략이 뒷받침되어야 합니다. 정말 ‘싸울 줄 아는’ 인재가 필요합니다. 대학 프로그램, 실전형 훈련 센터, 그리고 공공 부문 보안 전문가를 위한 명확한 경력 경로 개발이 다 포함되어야 합니다.

3.7 집단 방어: 국내외 위협 정보 공유 체계 강화

C-TAS 시스템 최적화: 마지막으로, 우리끼리만 끙끙 앓으면 안 됩니다. 사이버 위협정보 분석·공유시스템(C-TAS)이 국가 위협 정보의 허브 역할을 해야죠. GPKI 침해 같은 사고에서 나온 침해지표(IoC)나 TTP를 모든 정부 기관과 핵심 기반 시설 파트너에게 기계가 읽을 수 있는 형식으로 ‘자동’ 배포하도록 시스템을 강화해야 합니다. 데이터의 품질, 적시성, 그리고 ‘실행 가능성’이 생명입니다.
국제 공조 강화: 국가 지원 공격은 전 세계적인 문제입니다. 대한민국은 동맹국과의 정보 공유 파트너십을 더 깊게 가져가야 합니다. 새로운 공격 캠페인에 대한 조기 경보를 얻고, 위협 행위자 분석을 공유하며, 외교 및 법 집행 대응을 함께 조율해야 합니다.
사이버 위협정보 분석·공유시스템(C-TAS)

결론: 뼈아픈 교훈, 그리고 즉시 시작해야 할 전략적 과제

정리하겠습니다. 이번 GPKI 침해 사고는 정말 뼈아픈 교훈입니다. 그리고 이건 더 깊은 구조적인 병폐의 ‘증상’이었음을 종합적으로 분석했습니다. 이건 그냥 땜질 처방으로 안 끝납니다. 구조를 바꿔야 해요.

이에 국가 지도부를 위해, 우리 사이버 방어 태세를 현대화하기 위한 전략적 필수 과제들을 우선순위대로 정리해 봤습니다.

즉각적 우선 과제 (0-6개월):
- 모든 고위험 계정 및 중요 시스템에 피싱 저항성 MFA(FIDO/WebAuthn) 도입을 즉각 의무화해야 합니다.
- 인터넷에 연결된 모든 시스템에 대한 긴급 감사를 시작하고, 알려진 취약점에 대한 즉각적인 패치를 명령해야 합니다.
- 모든 정부 엔드포인트와 서버에 EDR/XDR 솔루션 배포를 가속화해야 합니다.
중기 우선 과제 (6-24개월):
- 국가 가이드라인을 로드맵 삼아, 범정부 차원의 제로 트러스트 아키텍처를 공식 채택하고 단계적 구현을 시작해야 합니다.
- GPKI 같은 핵심 중요 자산 보호를 시작으로, 네트워크 마이크로세그멘테이션을 구현해야 합니다.
- 모든 신규 소프트웨어 조달 계약에 SBOM 제출을 의무화해야 합니다.
장기 전략 과제 (24개월 이상):
- 지속적인 적대적 테스트를 제공하기 위해, 상설적인 범정부 레드팀을 창설해야 합니다.
- 지속 가능한 방어 인력 파이프라인을 구축하기 위해, 국가 사이버 보안 인재 개발 전략을 전폭적으로 지원하고 실행해야 합니다.
- 국가 지원 위협 행위자에 초점을 맞춘 국제 정보 공유 협정을 심화해야 합니다.

참고자료

Mandiant identifies North Korea-linked APT43 cyber operator using cybercrime to fund espionage operations (Industrial Cyber)
Assessed Cyber Structure and Alignments of North Korea in 2023 (Mandiant / Google Cloud)
영화 속 해킹 현실로?…“국가 기반시설 사이버 안전 외면은 국민 생명 포기” (보안뉴스)
APT43: North Korean Group Uses Cybercrime to Fund … (Google)
Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석 (AhnLab ASEC)
Github를 공격 인프라로 악용하는 Kimsuky의 최신 국내 공격 사례 분석 (엔키화이트햇)
2021년 김수키 그룹은 어떻게 움직였나 (AhnLab)
김수키 그룹, 또 다른 악성코드를 유포하다 (AhnLab)
외신 인터뷰 의뢰 사칭 김수키 공격 발견 (한국재정정보원)
김수키(Kimsuky)그룹의 ‘BlueShark’ 위협 전술 분석 (지니언스)
“공무원 업무시스템 ‘온나라’·GPKI 인증 해킹 흔적”…보안 강화 (Daum / 연합뉴스)
10대 35% “가짜 뉴스에 속아”…AI시대 정보신뢰도 붕괴 (지디넷코리아)
EDR/XDR (Endpoint/Extended Detection and Response) (ITPE / JackerLab)
기업 63% “랜섬웨어 확산 막고자 ‘마이크로 … (아이티데일리)
사이버 보안 101: 마이크로세그멘테이션 (Illumio)
마이크로 세그먼테이션이란? (Palo Alto Networks)
SW 공급망 보안 가이드라인 1.0 (한국인터넷진흥원)
\[논문\]사이버 위협 인텔리전스 공유 체계 연구 (ScienceOn / KISTI)
블루팀과 레드팀의 모의 전쟁, 역할 바꿔 효과 높인다 (보안뉴스)
편향을 저격하는 ‘레드팀(Red Team)’ (LG경영연구원)
FIDO1 와 FIDO2 차이점 알아보기 (tech.sungbinlee.dev)
정부 신뢰와 공공 정책 요약 (주 벨기에 유럽연합 대한민국 대사관)
XDR(Extended Detection and Response)의 개념과 차세대 보안 기술 (creeraria.tistory.com)
FIDO 인증이란? 비밀번호 없는 시대에 오신 것을 환영합니다 (Authme)
국가 사이버안보 전략 (CCDCOE)
정보보호산업의 글로벌 경쟁력 확보 전략 (과학기술인재정책 플랫폼)
\[대한민국 털렸다\]‘김수키’에 무엇을, 어떻게 당했나? (보안뉴스)
북한 해커와 연계된 도박사이트 사건 수사결과 (대검찰청)