北 해킹조직 ‘김수키’, 방송·일반 기업까지 해킹대상 넓혀

동아일보 DB

대북관련 인사들을 상대로 해킹을 벌이던 북한의 해킹 조직 ‘김수키’가 방송 및 일반 기업까지 해킹대상을 넓힌 것으로 확인됐다.

14일 안랩에 따르면 김수키가 만든 악성코드가 앱 서비스 제안서와 자기소개서 형식으로 유포되고 있다.

유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’ ‘임**자기소개서. docx’ ‘app-planning-copy.docx’ 등이다.

해당 파일들을 내려받으면 파일 내부에 있던 악성 매크로가 실행되면서 cURL(Client URL) 명령어가 포함된 파일을 생성 및 실행한다. 이 파일에는 추가 악성 스크립트 다운로드 및 실행 코드가 있어 실행 시 최근 연 워드 문서 목록, 시스템에 설치된 바이러스 백신 정보, 시스템 내 다운로드 폴더 경로 정보, 실행 중인 프로세스 정보 등이 외부로 유출된다.

안랩은 이와 관련해 “처음에는 대북 관련 인사를 겨냥했던 악성 코드가 이제는 일반 기업 사용자를 대상으로도 유포되고 있다”고 말했다.

그러면서 “발신자를 알 수 없는 메일의 첨부 파일은 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.

김수키는 지난달 15일 이미 포털사이트를 위장한 피싱 메일로 이용자들의 비밀번호를 빼내려 시도한 정황이 발각됐다. 이들은 또 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭해 해킹 공격을 시도하기도 했다.

이스트시큐리티에 따르면 김수키는 다음(daum)과 유사한 영문 표기 'daurn' 도메인을 이용해 피싱 메일을 유포했으며 메일에는 비밀번호 변경을 유도하는 본문과 하이퍼링크가 포함돼 있다. 하이퍼링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 사이트에 접속되며, 이곳에 입력한 정보는 고스란히 공격자 서버로 전송되는 구조다.

유엔 안전보장이사회 대북제재위원회 전문가 패널의 보고서는 이런 북한의 사이버공격 대부분이 북한 정찰총국의 통제 아래에 있는 집단에 의해 수행되고 있으며 여기에는 김수키, 라자루스 그룹, 안다리엘 등 해커 조직이 포함돼 있다고 설명했다.

유엔은 북한의 해킹 조직들이 사용하는 기술이 갈수록 정교해져 해킹으로 얻은 도난 자금을 추적하기가 어려워지고 있다고 지적한 바 있다.

최재호 동아닷컴 기자 cjh1225@donga.com