“북 김수키 해킹전술 계속 진화”
2024.03.21
앵커: 북한의 악명 높은 해킹 조직 ‘김수키’의 새로운 해킹 전술이 드러났습니다. 미국에 기반을 두고 있는 사이버 보안 회사 래피드7(Rapid7)은 최근 자사 홈페이지를 통해 윈도우 도움말 파일을 이용한 북한의 최신 전술을 공개했습니다. 김지수 기자의 보도입니다.
사이버 보안 회사 ‘래피드7(Rapid7)’은 20일, 북한의 해킹 조직 김수키 (Kimsuky)가 새로운 전술을 사용한 캠페인을 시작했다고 밝혔습니다.
Rapid7에 따르면 Rapid7의 연구원들은 사이버상의 위협 조직을 지속적으로 추적하고 관찰한 결과, 보안 조치를 우회하려는 김수키의 갱신된 전술을 포착했습니다.
연구팀은 먼저 한국어 파일명을 가진 여러 개의 HTML 문서 즉, 인터넷상에서 읽을 수 있는 문서가 포함된 의심스러운 윈도우 도움말(CHM) 파일을 발견하고, 이를 번역한 결과 북한의 핵 전략과 관련된 주제의 파일이라는 것을 파악했습니다.
북한 관련 전문가들에게 ‘북한’ 또는 ‘핵’과 관련한 주제의 파일에 악성코드를 숨겨 보내는 것은 북한 해커들의 전형적인 수법으로 잘 알려져 왔습니다.
ISO, VHD, ZIP, RAR 파일과 같은 형식을 통해 윈도우 도움말(CHM) 파일이 전달되면 초기 방어 체계를 우회해 파일을 실행할 수 있는데 이를 활용한 것으로 연구원들은 분석했습니다.
그리고 김수키의 소행이라고 생각되는CHM 파일 중 하나를 해독해 하나의 코드를 발견했는데 이 코드를 통해 "악의적인 목적으로 윈도우(Windows) 체계에서 ‘HTML’과 다운로드 받은 자료들을 이용하는 데 사용되는 기술인 ‘ActiveX’를 활용해 임의적인 명령을 실행할 수 있다”는 사실을 발견했습니다.
“기존의 문서와 ISO 즉, 사진영상 파일, 그리고 바로 가기 파일(LNK)의 악용에 이어, HTML 도움말 파일(CHM)을 악용하는 방식으로 진화한 것”이라고 Rapid7측은 설명했습니다.
이 연구에 참여한 크리스티안 비크(Christiaan Beek) 연구원은 21일 RFA와의 통화에서 북한 김수키 조직의 활동은 앞으로도 계속 진화할 것이라고 내다봤습니다.
비크 연구원: 김수키 조직은 매우 역동적인 것으로 알려져 있습니다. 그들은 현재 사용 중인 해킹 기법이 효과가 없다고 판단되면 다른 방법을 찾아서 시간이 지남에 따라 계속 발전하는 모습을 보이는데, 그런 점이 흥미롭기도 합니다.
그러면서 주로 한국 정부 기관, 한반도 통일 과정에 관여한 개인, 북한 정권과 관련된 분야의 전문가를 대상으로 해킹 활동을 벌여온 김수키 조직으로부터의 피해를 줄이기 위해서는 개인마다 이메일로 주고 받는 첨부파일에 주의를 기울여야 한다고 강조했습니다.
비크 연구원: 첨부 파일을 받았는데 이상한 파일이 첨부되어 있는 경우입니다. 예를 들어 핵 관련 문서나 금융 데이터 같은 것이 들어 있는 것처럼 보일 수 있지만 정말 이상한 파일이 첨부되어 있을 수 있습니다. 이런 경우 대응하면 안 됩니다.
한편 북한 정찰총국 제3국 산하 해커 조직인 김수키는 2012년부터 불법 사이버 활동을 통해 외화벌이와 각종 정보 탈취를 주도해왔습니다.
특히 4월에는 한국 총선이 예정돼 있어 김수키를 비롯한 북한 해킹조직의 사이버정찰 활동은 더욱 확대될 것으로 관측됩니다.
에디터 이상민 , 웹팀 이경하