北 해킹조직, 노태우 조문 뉴스 사칭해 피싱 공격

북한 해킹조직 김수키가 고 노태우 전 대통령 조문 뉴스를 사칭해 피싱 공격을 펼친 것으로 확인됐다. 김수키가 대북 전문가들에게 유포한 피싱 이메일 본문 일부. 이스트시큐리티 제공
북한 해킹조직 김수키가 고 노태우 전 대통령 조문 뉴스를 사칭해 피싱 공격을 펼친 것으로 확인됐다. 김수키가 대북 전문가들에게 유포한 피싱 이메일 본문 일부. 이스트시큐리티 제공

이스트시큐리티가 북한 해킹조직 '김수키(탈륨)'에 의한 신종 지능형지속위협(APT) 공격을 포착하고 주의를 당부했다. 김수키는 국내 대북 전문가들을 대상으로 고 노태우 전 대통령 관련 뉴스를 사칭해 피싱 공격을 펼쳤다.

이번 공격은 이메일에 악성 파일을 첨부하는 일반적인 스피어 피싱과 달리 시사 뉴스를 가장해 본문 내 인터넷주소(URL)를 클릭하도록 유도하는 사회공학적 피싱 수법이 쓰였다. 고 노태우 전 대통령의 법적 사위인 최태원 SK그룹 회장이 서울대병원 장례식장 빈소를 찾아 조문하고 미국 출장 길에 오른다는 네이버 뉴스로 위장했다. 이스트시큐리티 시큐리티대응센터(ESRC) 확인 결과 공격에 사용된 문구와 가짜 웹사이트 화면은 실제 모 언론사의 뉴스를 무단 인용한 것으로 드러났다.

공격에 활용된 이메일은 보낸 사람과 주소가 '네이버 뉴스'로 조작됐다. 실제 발신지는 불가리아 이메일 서비스로 밝혀졌는데 해당 서비스는 북한 해킹조직이 그동안 여러 차례 활용해 왔다. 이메일 도메인 역시 'com'이 아닌 'corn'으로 교묘히 작성했다. 해킹 이메일 본문에는 '뉴스 바로가기' 링크를 2개 삽입했는데 이는 모두 해외 서버로 접속을 유도한다. 이때 이용자 인터넷(IP) 주소와 웹 브라우저 등 일부 정보가 노출될 가능성이 있고 공격자 의도에 따라 추가 악성 파일이 설치된다. 이후에는 또 다른 주소로 이동시켜 실제 뉴스로 위장한 가짜 화면을 제시한다.

그동안 김수키는 악성 매크로 명령을 삽입한 워드나 엑셀 문서, PDF 취약점 공격을 주로 사용했는데 이번에는 이메일 본문에 가짜 링크를 넣어 클릭 여부를 체크하는 등 위협 탐지를 최소화하기 위한 정찰 단계가 추가됐다고 ESRC는 설명했다.

ESRC는 공격 발신지와 명령제어(C2) 서버 주소, 과거 악성 파일 코드 유사도 등을 종합 분석한 결과 이번 공격 배후를 김수키로 결론 내렸다.

문종현 ESRC 센터장은 “(김수키는) 사회적으로 관심이 집중된 실제 뉴스를 활용해 수신자로 하여금 호기심을 유발하고 악성 링크에 접근하도록 유인하는 지능적인 해킹 수법으로 북한 분야 종사자들을 지속적으로 노리고 있다”면서 “특히 외교·안보·국방·통일·대북 분야 전문가들은 평소 보지 못했던 발신자나 뜬금없이 도착한 이메일은 항상 주의해야 한다”고 당부했다.

이스트시큐리티는 이번 공격에 대한 긴급 업데이트를 마쳤으며 피해 확산 방지를 위해 관련 부처와 긴밀하게 협력하고 있다.

오다인기자 ohdain@etnews.com