돌아온 北해킹조직 ‘김수키’...과거 사용했던 공격기법으로 먹잇감 확대

실시간
뉴스

침해사고/위협동향

돌아온 北해킹조직 ‘김수키’...과거 사용했던 공격기법으로 먹잇감 확대

디지털데일리 발행일 2019-03-12 08:27:02

홍하나

URL복사

[디지털데일리 홍하나기자] 2013년 처음으로 발견된 북한의 해킹조직 '김수키'가 국내에서 사이버 공격 대상 영역을 넓히고 있다. 한동안 잠잠했던 김수키가 기존보다 돈벌이가 되는 기업과 암호화폐를 공격 대상으로 삼은 것. 특이한 점은 이들의 공격방식이다. 과거에 사용했던 한글 취약점 공격을 또다시 진행하고 있어 그 배경이 주목된다.

12일 안랩 시큐리티대응센터(ASEC)에 따르면, 김수키의 소행으로 추정되는 공격이 최근 국내 일반 기업과 암호화폐 영역으로 확대되고 있다.

북한의 해킹조직 김수키는 2013년 처음 발견됐다. 국내 보안 전문가들은 김수키가 우리나라의 국방부, 통일부 등 정부부처와 유관기관을 노리고 공격을 주도한 것으로 보고 있다. 또 김수키는 2014년 한국수력원자력 해킹 사건의 배후로 지목된다.

안랩 ASEC대응팀에 따르면 최근 김수키는 국내에서 금융, 암호화폐 분야로 공격범위를 확대하고 있다. 계속되는 대북제재로 북한의 경제 상황이 악화됨에 따라 금전적 수익을 위한 공격에 나선 것으로 분석된다.

특히 김수키의 소행으로 추정되는 최근 공격은 한글문서를 위장한 것이 특징이다. 지난해 12월부터 올해 1월 사이에 확인된 공격방식은 파일의 아이콘을 한글문서로 위장한 뒤, 파일 이름에 이중 확장자를 적용했다. 해당 파일을 클릭하면 정상적인 한글파일 문서처럼 보이는 화면이 뜬다. 내용은 공격 타깃의 업무와 밀접한 내용으로 위장되어 해킹피해 사실조차 인지할 수 없도록 한 것이 특징이다.

김수키는 지난해 12월 군사 관련 분야를 대상으로 ‘2019 사업계획서’ 명칭의 위장 한글파일 유포, 올 1월 통일부 기자단을 대상으로 ‘미디어 권력이동➅-넷플리스, 유튜브’ 명칭의 위장 한글파일 유포, 같은 달 ‘중국-연구자료’라는 비슷한 형식의 파일을 유포한 정황이 포착됐다.

주목할 점은 군사 관련 기관과 언론을 노린 공격이 발생한 시기에 연관성이 없는 국내 의류 업체와 암호화폐를 노린 악성코드가 유포됐다. 이 악성코드와 군사 관련 기관을 노린 악성코드와의 유사성이 확인된 것이다. 이에 안랩 보안 분석가들은 악성코드 프로파일링을 통해 의류 업체 및 암호화폐를 노린 악성코드 역시 김수키 그룹과 관련됐다고 분석했다.

이에 대한 근거로 ASEC 대응팀은 ▲악성 한글 문서에 존재하는 동일한 쉘코드 ▲동일한 코드와 동작 방식의 악성 스크립트 ▲동일한 코드와 동작 방식의 악성코드 추가 생성 ▲동일한 C&C 서버 연결 IP 등을 근거로 최근 국내 기업 및 기관을 대상으로 전개된 공격의 배후가 김수키 그룹일 가능성이 높다고 분석했다.

ASEC대응팀은 “모두 동일한 C&C 서버에서 유포된 것”이라며 “분석결과, 공격자는 최소 2년 전부터 간헐적으로 변종을 제작한 것으로 보인다”고 전했다.

그렇다면 김수키 그룹이 2014년에 사용했던 공개된 한글 취약점과 쉘코드를 최근 공격에서 다시 사용한 이유가 무엇일까. 이에 대해 ASEC대응팀 안창용 수석연구원은 “(국내에서) 여전히 오래된 버전의 한글 프로그램을 보안 업데이트도 적용하지 않은채 사용하고 있는 것을 파악하고 있다”고 전했다.

이어 “타깃 공격의 대상이 되는 기업 및 기관에서 패치 관리에 만전을 기해야 하는 이유도 바로 이것”이라며 “이와 함께 고도화되는 공격의 피해를 최소화하기 위해 보안 침해의 흔적을 최대한 신속하고 정확하게 수집, 탐지할 수 있는 방안을 마련해야 한다”고 당부했다.

한편 국내 보안 전문가들은 정치적 협력 관계와는 별개로, 국내 기관 및 기업을 노린 다수의 타깃 공격이 지속적으로 발생하고 있다고 입을 모아 말한다. 안 연구원은 “여러 공격 그룹의 움직임을 지속적으로 관찰하고 대응하기 위해 국가 기관과 기업, 보안 업체 간의 정보 공유 등 긴밀한 공조가 요구된다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr