北 해킹조직 '킴수키' 심층 분석 리포트 나란히 낸 안랩·지니언스

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

국내 사이버 보안기업 안랩과 지니언스가 북한 정찰총국 산하 해킹조직 '킴수키(kimsuky)'를 심층 분석한 보고서를 이틀 사이에 나란히 발표해 눈길을 끈다.

지니언스는 지난달 30일 '위협 분석 보고서(킴수키 APT 그룹의 스톰 작전과 베이샤크 패밀리 연관 분석)를 내놨다. 이틀 뒤인 지난 1일 안랩은 '킴수키 조직의 피싱, 악성코드 유포 등 해킹 활동에 대한 17개월의 추적과 분석' 보고서를 공개했다.

두 회사가 비슷한 시기에 킴수키를 추적, 분석할 정도로 국내를 대상으로 한 북한 해킹조직 활동이 활발하다는 분석이다. 실제 국가정보원에 따르면 북한의 국내 공공분야 사이버 공격은 일일 약 150만건에 달한다.

지니언스는 올해 상반기부터 9월까지 킴수키의 사이버 정찰·침투 활동이 국내에서 활발히 전개하는 것을 포착하고 조사에 착수했다. 북한발 사이버 공격이 일상화된 실존 위협이라고 평가해도 과언이 아닐 정도로 킴수키의 위협 활동은 지속적이라고 지적했다.

보고서에 따르면 지난 6월 21일 킴수키가 외교부 평화체제과 사무관을 사칭해 보낸 '한반도평화교섭본부 평화통일 세션' 참석요청 이메일이 발견된다. 첨부파일이나 본문 내 인터넷주소(URL)가 없는 평범한 업무 메일로 보이지만, 이는 전형적인 투-트랙 스피어 피싱 공격 수법이다. 킴수키는 첫 메일에 반응 보인 수신자를 선별해 본격적인 타깃 공격을 수행했다.

두 번째 메일에 포함된 '평화체제과 통일외교 관련 세션 기획(안).pdf' 첨부파일은 국내 특정 호스트로 연결, 마치 보안 메일처럼 위장해 '보안메일보기' 버튼 클릭을 유도했다. 사용자가 이를 클릭하면 구글 지메일 로그인 화면으로 위장한 가짜 피싱 화면이 나오고, 비밀번호를 입력하면 정상 PDF 문서가 뜨지만 이미 계정 정보는 유출된 뒤다.

킴수키는 7월 28일, 8월 31일, 9월 1일에도 동일 패턴 수법의 공격을 이어갔다. 9월 10~19일엔 국내에서 킴수키의 '아기상어' 툴킷용 악성파일도 다수 발견됐다.

안랩도 보고서를 통해 킴수키가 북한·정치·외교·안보·국방·의료·금융 등 다수의 분야를 해킹해 특정인이나 조직의 메일 계정, 중요한 자료를 탈취하고 있다고 강조했다. 킴수키는 메일에 해킹 대상이 자주 이용하는 정상 URL로 위장한 피싱과 한글, 마이크로소프트(MS) 오피스 문서 파일, 실행 파일, 스크립트, 파워쉘, 바로가기, 배치파일 등 다양한 유형의 악성코드를 첨부하는 방식을 사용한다.

정보보호 업계 관계자는 “각기 다른 두 회사가 비슷한 시기에 킴수키의 사이버위협을 포착하고 추적, 분석할 정도로 북한발 사이버 공격이 만연했다는 의미”라면서 “국가배후 해킹조직의 활동이 위험수위를 넘은 만큼 민·관 협력 강화와 더불어 국민적 관심이 필요하다”고 말했다.

조재학 기자 2jh@etnews.com