北배후 추정 ‘킴수키’…美연구기관 사칭해 사이버공격

ESRC “대담해지는 사이버 공격…신속 대응 필요”

보안업체 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 지난 1일과 2일 한국과 미국의 북한 관련 분야에 종사하는 이들을 타겟으로 한 사이버 공격이 포착됐다. (사진제공=ESRC)© 뉴스1

북한이 배후에 있는 것으로 추정되는 사이버 해킹 조직인 ‘킴수키(kimsuky)’가 미국의 연구기관을 사칭해 악성코드를 유포하는 사이버 공격을 한 정황이 연일 포착됐다.

15일 보안업체 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 지난 1일과 2일 한국과 미국의 북한 관련 분야에 종사하는 이들을 타겟으로 한 사이버 공격이 포착됐다.

특히 ESRC는 이 조직이 미국을 표적으로 할 경우에는 워드(DOC) 문서 형식으로, 한국을 대상으로 할 경우에는 주로 한글(HWP) 문서 파일을 이용용한 ‘맞춤형 미끼’를 활용한다고 분석했다.

지난 1일 포착된 공격은 29일 제작된 악성 워드(DOC) 문서가 첨부된 스피어 피싱 공격으로, 한국에서 주로 쓰이던 문서 암호 설정 방식이 도입됐다.

ESRC는 해당 DOC 문서가 한국어 기반으로 작성됐고, 이는 공격자가 한글버전의 윈도우 운영체제를 사용하고 있다는 단서 중 하나라고 지적했다.

또한 이 문서를 가장 마지막에 수정한 계정이 지난달 4월 은밀히 수행되는 사이버 공격을 지칭하는 ESRC의 개념인 ‘스모크 스크린’ 캠페인에서 공개한 바 있는 계정과 일치한다고 밝혔다.

‘킴수키’ 조직의 공격은 접속자들의 아이피 주소와 컴퓨터 정보들을 수집해 분석 환경일 겨우 방해하거나 공격자의 의도에 따라 암호화된 악성 코드를 설치할 수 있는 것으로 알려졌다. 이는 원격제어(RAT) 등의 피해로 이어질 수도 있다.

2일 한국에서도 공격이 포착됐다. 한국에서는 ‘안보정세-북·러 정상회담 결과보고.hwp’ 파일명으로 대북관련 한국인 종사자를 타겟으로 했다.

ESRC는 “한국과 미국의 시차를 고려해봤을 때 거의 같은 시기에 ‘스모크 스크린’ 캠페인이 활발히 수행됐다”며 “이들은 수년간 한국의 주요 기관 및 기업을 대상으로 APT 공격을 수행하고 있을 뿐 아니라 미국 내 북한분야 연구 조직에 대한 공격도 수행하는 등 갈수록 대담해지고 있다”고 지적했다.

이어 “국가 차원의 사이버 첩보전이 치열해지고 있는 상황에서, 공격 그룹에 대한 다양한 정보 수집과 인텔리전스 협력을 통해 보다 신속한 대응안이 필요하다”고 덧붙였다.

(서울=뉴스1)