北배후 추정 ‘킴수키’…통일부 사칭한 사이버공격 감행

외교안보·대북 관계자 주의 요구…메일로 악성코드 첨부

ESRC는 20일 사이버 해킹 조직 ‘킴수키’가 정부를 사칭해 악의적 코드를 심으려는 사이버 공격을 빈번하게 하고 있다고 밝혔다. (사진제공=ESRC)© 뉴스1

북한이 배후에 있는 것으로 추정되는 사이버 해킹 조직인 ‘킴수키(kimsuky)’가 정부를 사칭해 악의적 코드를 심으려는 사이버 공격을 빈번하게 하고 있는 것으로 나타났다.

특히 이같은 공격으로 사이버 보안 위협 수위가 점점 상승하고 있는 가운데 외교, 안보, 국방, 통일, 대북분야 등에 속한 주요 인물을 상대로 사이버 첩보 수집활동이 목격돼 관계자들의 주의가 요구된다.

20일 보안업체 이스트시큐리티 시큐리티대응센터(ESRC)는 킴수키 조직의 최신 APT(지능형 지속 공격) 공격인 ‘오퍼레이션 페이크 스트라이커(Operation Fake Striker)’는 가짜로 한국 기관을 사칭했다고 지적했다.

또한 아르헨티나 유명 축구 선수이자 FC 바르셀로나 소속의 ‘리오넬 메시’와 유사한 계정명이 발견됐다고 밝혔다.

ESRC가 최근 분석한 바에 의하면 공격자는 보안협력과 함께 제한적으로 접수된 캡처 화면을 통해 통일부 정세분석총괄과 발신 명의로 위장했고, 내용도 한반도 비핵화 대화재개 추진 현황 참고자료처럼 꾸몄다.

ESRC는 “중요한 점은 기한을 정해 회신을 유도한 것인데 나름 관심유발과 심리적 압박을 통해 첨부된 미끼 파일을 바로 열어 보도록 유도한 것”이라며 “첨부된 참고자료는 악의적 코드를 포함한 악성 HWP(한글) 문서 파일이며 취약점 여부에 따라 또 다른 위협에 노출될 수 있다”고 말했다.

ESRC는 “현재 킴수키 조직의 사이버 위협 활성도는 매우 높은 편이며 스피어 피싱과 워터링 홀 등 상황에 맞는 공격 벡터를 적절히 구사한다”고 주의를 요구했다.

킴수키 조직은 이달 초에도 사이버 공격을 시도한 정황이 포착된 바 있다. 다만 이번 공격의 경우에는 기존에 알려져 있던 포스트 스크립트(Post Script)와 쉘코드(Shellcode) 난독화 패턴을 꾸준히 변경하면서 보안 제품의 탐지를 우회하는데 집중하는 모습이라고 ESRC는 지적했다.

또한 문서 소프트웨어 암호 설정 기능을 적절히 사용해 비밀번호를 입수하기 전까지 악성 여부를 파악하지 못하도록 방해 전술을 구사하는 것으로 알려졌다.

ESRC는 이번에 접수된 메일의 첨부파일인 ‘참고자료.hwp’ 파일을 확인해 본 결과 10자리의 특정 암호문자가 설정되어 있었고, 문서 작성자는 ‘임병철’, 마지막 저장자는 ‘MESSI’ 계정이 사용되었다고 밝혔다.

킴수키 조직이 활용한 악성 HWP 문서들 중에는 동일 작성자가 포함된 문서가 여러차례 발견된 바 있다. ‘임병철’은 지난 2016년 1월, 2017년 6월과 10월에도 문서 작성자로 분석됐다.

또한 코드 분석 결과 ESRC는 킴수키 조직이 “추가 다운로드 명령을 받기 위해 사용하는 인자값으로 ‘tjdrhd16’ 코드가 사용되는데 영문 알파벳 부분을 키보드 한글 입력상태로 타이핑하면 ‘성공16’이라는 표현으로 변환된다”고 말했다.

ESRC는 “공격자가 한글 자판을 사용하고 있다는 흔적”이라며 “감염된 컴퓨터의 정보 수집을 통해 후속공격까지 준비되어 있다는 것을 알 수 있다”고 지적했다.

ESRC는 킴수키 조직에 대해 “이들은 한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있으며, 마치 신뢰할 수 있는 한국의 정부기관이 보낸 내용처럼 사칭해 이용자들을 현혹시킨다”고 주의를 당부했다.

(서울=뉴스1)