라스베이거스 DEF CON 33에서 공개된 ‘김수키 역해킹 보고서’. 선관위 해킹 정황이 드러났다는 발표가 이어졌다. 한미일보 합성

북한 해킹조직 ‘김수키’의 내부 문건이 국제 해킹대회에서 공개되면서 대한민국 선거관리위원회가 직격탄을 맞았다.

보고서에는 선관위 내부망 접근과 투개표 시스템 해킹 시도 정황이 구체적으로 기록돼 있었기 때문이다. 보고서는 그간 “침투 흔적이 없다”던 선관위의 반복된 해명을 정면으로 부인했다.

해당 자료에는 행정안전부·통일부 공인인증서 대량 탈취, 외교부 Kebi 메일 서버 소스코드, 국방부와 국군방첩사령부 침투 기록, 대검찰청 계정·인증키 유출 등이 광범위하게 드러났으며, 특히 선관위 투·개표 시스템 접근 시도가 명시돼 있다. 

공개된 악성코드에는 ‘Min2jAcgXeDsdL’과 같은 하드코딩된 비밀번호가 포함돼 있었고, 바이러스토털(VirusTotal)조차 등록되지 않은 신종 바이너리가 발견됐다.

사이버 전문가들은 “이 정도 기록이면 선관위가 최소한 사실관계에 대한 변명이라도 내놔야 한다”고 지적했다.

2025년 8월, 미국 라스베이거스에서 열린 세계 최대 해킹 컨퍼런스 DEF CON 33. 이 자리에서 공개된 ‘APT Down: The North Korea Files’는 국제 보안 업계와 정치권을 동시에 뒤흔들었다. 

미국 해커들이 북한 국영 해킹조직 ‘김수키(Kimsuky)’ 소속 해커의 워크스테이션과 VPS 서버에 침투해 탈취한 내부 문건, 무려 8.9GB에 달하는 자료가 전 세계에 풀린 것이다.

문건은 북한의 사이버 공작 실태를 낱낱이 드러냈지만, 한국에 특히 충격을 던진 대목은 중앙선거관리위원회(선관위) 관련 기록이었다. 선관위가 수년간 “사이버 침투 흔적은 없다”며 일축해온 입장과 달리, 이번 자료에는 날짜별 접근 로그, 투·개표 시스템 침투 시도, 그리고 공인인증서 대량 탈취 정황이 구체적으로 기록돼 있었다.

총선 직전 집중된 로그 기록

분석한 자료에 따르면, 2024년 3월, 22대 총선을 불과 몇 주 앞둔 시점에 선관위 내부망을 겨냥한 반복적 접근 시도가 집중적으로 나타났다. 로그 기록은 서울·경기·인천 등 수도권 선관위 서버에 동시다발적으로 남아 있었으며, 이는 지역 선관위 망이 동시에 흔들렸음을 의미한다.

더 주목할 점은 이 시기와 맞물려 행정안전부·통일부의 공인인증서가 대량 탈취된 정황이 발견됐다는 사실이다. 로그 기록과 인증서 유출 시점이 교차한다는 점에서, 단순한 ‘흔적’ 수준을 넘어 실제 선거 관리 시스템을 직접 겨냥했을 가능성이 강하게 제기된다.

공인인증서 탈취의 심각성

공인인증서는 단순 로그인 수단이 아니다. 선관위 투·개표 관리 서버 접근, 전산자료 위·변조, 선거인 명부 불법 열람 등 핵심 행위의 열쇠로 악용될 수 있다. 행정기관 간 인증 체계가 서로 연동돼 있는 구조적 특성상, 한 부처에서 유출된 인증서가 선관위 시스템에도 곧장 연결될 수 있다는 점은 심각한 보안 허점이다.

전문가들은 이를 두고 “선관위 침투는 개별 해킹 사건이 아니라, 정부 전반의 인증 기반을 무력화시키는 국가급 작전”이라며 “특히 총선을 앞두고 발생했다는 점에서 결과 조작 가능성까지 배제할 수 없다”고 경고한다.

북·중 합작 해킹 의혹

킴수키 내부 자료는 평양 시간 기준 오전 9시~오후 5시 사이에 주로 활동한 정규 근무 패턴을 드러냈다. 이는 북한 해커들이 군인 혹은 공무원처럼 근무 체계화된 방식으로 운영된다는 방증이다.

더욱이, 자료 곳곳에는 중국발 IP와 협업 채널이 동시에 등장했다. 일부 로그에서는 구글 번역기를 통한 한국어→중국어 번역 기록까지 발견됐다. 이는 단순 기술 교류를 넘어, 북한과 중국이 선거 관련 작전에 실질적으로 공동 개입했을 가능성을 강하게 뒷받침한다.

실제로 일본 사이버보안센터(JPCERT)는 2024년 하반기 유사한 침해 패턴을 포착해 자국 내 사례와 비교·보고한 것으로 알려졌다. 북·중 합작설은 한국 선거 개입 논란을 넘어 동북아 전체의 사이버 안보 이슈로 확산되고 있다.

미국 라스베이거스에서 열린 세계 최대 해킹대회 DEF CON 현장 모습. 자물쇠와 소스코드가 겹쳐진 그래픽은 사이버 보안과 해킹 위협을 상징한다. 한미일보 합성

선관위와 정부의 대응

그러나 선관위는 여전히 “해킹 흔적은 없다”는 입장을 고수하고 있다. 수년간 반복돼온 이 공식 입장이 이번 기록과 정면으로 충돌한다. 로그와 인증서 탈취 시점이 명백히 드러났음에도 불구하고, 선관위가 이를 은폐했거나 최소한 축소했을 가능성이 강하게 제기된다.

정부 역시 뚜렷한 후속 조치를 내놓지 못하고 있다. 하지만 자료 속 선관위 침투 기록은 이미 국제 보안 커뮤니티를 통해 전 세계로 확산된 상태다. 은폐와 부인의 논리가 더 이상 통하지 않는 상황이 된 것이다.

강제 수사 불가피

현재까지 드러난 정황은 선관위 자체 조사만으로는 해명할 수 없다. 로그 기록, 인증서 탈취 시점, 북·중 합작 정황을 종합하면, 이는 국가 안보 차원의 중대 사건이다.

따라서 민간을 포함한 국정원·검찰·경찰이 합동으로 나서 강제 수사와 포렌식 검증을 실시하는 것이 불가피하다. 만약 수사가 지연된다면, 2026년 지방선거와 대선에서도 동일한 취약점이 반복될 수 있다. 선거 안보를 확보하지 못한 채 선거가 치러진다면, 민주주의의 근간이 흔들릴 수밖에 없다.

선거 시스템은 민주주의의 심장이다. 그러나 지금 드러난 기록들은 그 심장이 이미 외부의 공격에 노출돼 있었음을 경고한다. “흔적은 곧 위협”이라는 점에서, 이번 킴수키 내부 자료는 단순한 해킹 사례를 넘어 대한민국 선거 안보 체계 전반을 다시 점검해야 한다는 신호탄이다.

정치적 이해관계가 아니라, 안보 차원의 접근과 강제 수사만이 유일한 해법이다. 지금 필요한 것은 변명이나 은폐가 아니라, 사실 규명과 책임 추궁이다.

타임라인 정리

2023.11~12 : 북한 해킹조직 ‘김수키’ 활동 증가, 한국 외교·안보 분야 집중 공격 정황 포착.

2024.04 : 총선 직전, 선관위 내부망 접근 시도 및 투개표 시스템 관련 공격 발생.

2024.06~12 : 중국 해커와의 협업 흔적, 공인인증서·외교부 Kebi 메일 서버·대검 인증키 등 탈취 확인.

2025.08.09 : 라스베이거스 DEF CON 33에서 ‘APT Down: The North Korea Files’ 발표. 김수키 내부 자료 8.9GB 공개.

2025.08 : 역해킹 보고서 분석 결과, 선관위 시스템 침투 및 국가기관 해킹 사실 구체적으로 드러남.

#한미일보단독 #김수키 #역해킹보고서 #선관위해킹 #북중합작의혹 #투개표시스템 #사이버안보 #DEFCON33 #국가안보위기 #선거신뢰