[디지털데일리 이종현기자] 안랩이 주요 해킹그룹 김수키(Kimsuky)의 2022년 공격 방식을 분석한 2022년 동향 보고서를 자사 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 공개했다고 24일 밝혔다.
김수키는 2014년 한국수력원자력을 공격한 배후로 알려진 해킹그룹이다. 국가정보원(이하 국정원)은 김수키가 ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로도 활동 중인 북한 해커조직이라고 알린 바 있다.
안랩이 공개한 보고서에는 여러 공료로 유관 악성코드, C2서버 등 정보를 수집해 기존 김수키 그룹이 수행한 것으로 알려진 공격 방식과 비교·대조해 분석한 결과를 바탕으로 2022년 김수키 그룹의 악성코드 유포 방식 및 공격 특징이 담겨 있다.
작년 김수키 그룹은 타깃이 된 개인, 조직 구성원을 속이기 위해 최적화된 스피어피싱 수법을 적극 활용한 것으로 파악됐다. 스피어피싱은 특정인이나 조직을 표적으로 제작된 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격방식이다.
북한 및 외교·안보 전문가들이 주요 공격 대상이 된다. 좌담회나 자문요청서, 연구 결과보고서 등을 위장한 악성문서를 보내는 방식이 주를 이룬다. 실제 문서나 이메일과 분간이 어렵도록 제작되는데, 안랩은 김수키가 타깃에 대한 치밀한 사전 조사를 수행했으리라 추측했다.
공격에 활용하는 악성코드의 종류도 확대했다. 김수키 그룹은 2020년경부터 특정 키로깅 또는 백도어 악성코드를 주로 활용했는데 작년에는 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드나 원격제어 악성코드(RAT)도 추가로 발견됐다. 더 광범위한 피해를 발생시키기 위해 공격에 활용하는 악성코드를 다변화하는 것으로 보인다는 설명이다.
유명 소프트웨어(SW) 취약점을 활용하려는 시도도 포착됐다. 마이크로소프트(MS) 오피스 관련 취약점을 악용하는 악성코드도 발견됐는데, 보안패치를 적용하지 않은 조직과 개인은 해당 취약점을 활용한 공격에 노출될 수 있다.
안랩은 피해를 예방하기 위해 조직 보안담당자는 ▲조직 내 PC·운영체제(OS)·SW·웹사이트 등에 대한 보안 현황 파악 ▲OS·SW 취약점 상시 파악 및 보안 패치 적용 ▲보안 솔루션·서비스 활용 및 내부 임직원 보안교육 실시 ▲최신 공격동향 및 취약점 정보 확보 및 정책 수립 등을 수행해야 한다고 강조했다.
개인은 ▲출처가 불분명한 메일 속 첨부파일·인터넷주소(URL) 실행 자제 ▲SW·OS·인터넷 브라우저 등 최신 보안 패치 적용 ▲로그인 시 비밀번호 외에 이중인증 사용 ▲백신 최신버전 유지 및 실시간 감시기능 실행 등 보안 수칙을 지켜야 한다고 당부했다.
안랩 관계자는 “주요 해킹그룹인 김수키 그룹은 명확한 타깃을 설정하고, 이 타깃에 대해 고도화된 공격을 진행하는 것으로 나타났다”며 “해당 그룹은 앞으로도 다양한 방식으로 공격 수법을 변화시킬 것으로 보이기 때문에, 조직과 개인은 최신 사이버 위협 정보를 습득하고 기본 보안수칙을 일상에서 실천해야 한다”고 말했다.
한편 안랩 TIP는 안랩이 축적한 보안위협 대응 기술력과 노하우를 집약한 차세대 위협 인텔리전스 플랫폼이다. 악성코드 및 취약점, 포렌식 보고서나 최신 보안뉴스와 권고문, 보안 콘텐츠 관련 위협침해지표(IoC) 기반의 위협 유형, 악성 파일정보, IP, URL, 딥&다크웹(DDW) 모니터링 등 포괄적인 서비스를 제공한다.