“북 김수키, 지난해 한국정부 등 사칭 스피어피싱”

서울-목용재 moky@rfa.org
2024.01.04
“북 김수키, 지난해 한국정부 등 사칭 스피어피싱” 북한의 사이버 해킹 일러스트레이션.
/ RFA PHOTO

앵커: 북한의 해킹 조직인 김수키(Kimsuky)가 지난해 한국 대통령실과 자유아시아방송(RFA) 등을 사칭한 스피어피싱 전자우편 공격을 활발하게 시도했다는 분석이 나왔습니다. 지난해 해당 전자우편 수신자 가운데 25% 정도는 이 같은 해킹 전자우편에 회신했던 것으로 파악됐습니다. 서울에서 목용재 기자가 보도합니다.

 

한국의 보안업체인 하우리는 3일 북한의 해킹 조직으로 알려진 김수키의 스피어피싱 전자우편이 지난해 한국에 심각한 보안 위협을 가했다고 강조했습니다. 스피어피싱이란 특정 개인이나 회사를 대상으로 정보 등을 빼내기 위한 사이버 공격을 의미합니다.

 

하우리는 보도자료를 통해 지난해 1월부터 10월까지 김수키가 스피어피싱 공격에 사용한 전자우편 서버가 16, 사칭 계정은 24개로 파악했다고 밝혔습니다. 이를 통해 400여 명 이상의 한국 및 해외 주요 기관 소속 인사들에게 스피어피싱 전자우편이 발송된 것으로 파악됐습니다.

 

실제 북한이 공격에 사용한 서버와 계정은 하우리가 파악한 수보다 더 많을 것으로 추정됩니다.

 

하우리에 따르면 김수키가 스피어피싱을 위해 사칭한 기관은 자유아시아방송(RFA)을 비롯해 한국 대통령실, 한국 외교부와 통일부, 일본 외무성, 한국 중앙일보, NK NEWS, EAI 동아시아연구원, 국제전략문제연구소(CSIS), 조지타운대, 연세대 등 정부 및 연구 기관, 언론 등 다양합니다.

 

김수키는 해당 정부 및 기관들이 사용하는 정상 계정의 알파벳 단어 일부를 다르게 해 사칭 계정을 만들고 이를 통해 수신자들을 현혹한 것으로 파악됐습니다.

K010424my1.jpg
북한 김수키(Kimsuky)가 사용한 스피어피싱 메일 계정과 정상계정. /하우리

 

하우리에 따르면 김수키는 공격 대상자에게 새해나 성탄절 기간을 활용해 안부를 묻는 내용, 혹은 회의 및 자문, 의견 요청 등의 내용으로 처음에는 정상적인 전자우편, 이른바 미끼 메일을 보냅니다. 그 이후 해당 전자우편에 대해 수신자가 회신하면 이에 악성코드를 삽입한 답신을 발송합니다.

 

회신하지 않은 대상자에게는 전자우편 열람을 재촉하는 형태의 전자우편도 발신한다고 합니다.

 

하우리는 피싱 계정의 발신 및 수신 내역을 분석해 수신자의 약 25%가 김수키의 전자우편에 회신한 것으로 파악했습니다.

 

김정수 하우리 보안대응센터장은 4일 자유아시아방송(RFA)과의 통화에서 회신을 한 사람들이 모두 감염됐다고 볼 수는 없지만 악성코드에 감염됐을 가능성 자체는 높은 것으로 보고 있다고 말했습니다. 이렇게 악성코드에 감염되면 다양한 정보 유출, PC 제어권 상실 등의 피해가 발생할 수 있습니다.

 

김정수 하우리 보안대응센터장: 보통 apt 공격이라는 것이 감염되고 난 다음 동일 네트워크 상의 어떤 정보라든가, 수신 피해자들의 키로깅이라든가, 이런 다양한 공격이 이뤄지는 것으로 추정하고 있습니다.

 

하우리는 “김수키는 공격 대상의 정보에 맞게 회신 내용에 따라 치밀하고 자연스럽게 응대하다가 악성코드 배포를 시도한다정상적인 전자우편 소통과 크게 다르지 않기 때문에 위험하다고 경고했습니다.

 

한국 내 또다른 보안업체인 안랩도 지난달 내놓은 김수키의 공격 동향 분석 보고서를 통해 김수키의 공격에 유의할 것을 당부했습니다.

 

안랩은 “김수키는 주로 전자우편의 첨부 파일로서 문서 파일을 위장한 악성코드를 유포하는 방식을 사용한다사용자가 이를 실행할 경우 시스템 제어권이 탈취될 수 있다고 경고했습니다.

 

앞서 지난해 11월 한국 경찰청 국가수사본부도 지난해 2월부터 10월까지 인지한 김수키의 해킹에 대한 수사결과를 발표하면서 1468명이 전자우편 계정이 탈취되는 등의 피해를 입은 것으로 파악했습니다.

 

이 가운데 외교, 통일, 국방, 안보 분야의 전현직 공무원 등 전문가는 57명이었습니다. 또한 회사원, 자영업자, 무직자 등 다양한 직군의 일반인은 1411명이었습니다. 김수키의 공격대상이 외교, 안보, 북한 분야 종사자뿐 아니라 전방위적으로 확산하고 있다는 것이 당시 경찰청 국가수사본부의 분석이었습니다. 지난해 11월 이승운 한국 경찰청 국가수사본부 사이버테러수사대장입니다.

 

이승운 한국 경찰청 국가수사본부 사이버테러수사대장: 올해(2023)는 이에 더해 일반인들의 계정 정보까지 탈취했고 이에 더 나아가 가상자산 거래소 계정에 부정 접속해 가상자산을 탈취하려 했던 시도까지 확인을 했습니다.

 

김수키의 해킹이 지속되자 한국 정부도 지난 6월 김수키가 해킹을 통해 북한의 무기 개발, 인공위성과 우주 관련 첨단 기술 절취 등에 직간접적으로 관여하고 있다며 대북 독자제재 명단에 김수키를 올리고 미국의 관련 기관들과 함께 합동 주의보를 발표한 바 있습니다.

 

에디터 양성원, 웹팀 김상일

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.