• 페이스북
  • 트위터
  • 유튜브

더 악랄해진 北해커 '킴수키'…피싱메일로 표적 공격

등록 2023.03.25 07:00:00수정 2023.03.25 10:29:49

  • 이메일 보내기
  • 프린터
  • PDF

北해커 집단 킴수키, 맞춤형 피싱메일로 정보·자산 탈취

대북 관련 종사자에 경찰청 사이버안전국 사칭 메일 보내

북한 해커조직 킴수키가 정부기관 등을 사칭한 메일을 발송하고 있어 주의가 요구된다. (사진=뉴시스 ) *재판매 및 DB 금지

북한 해커조직 킴수키가 정부기관 등을 사칭한 메일을 발송하고 있어 주의가 요구된다. (사진=뉴시스 ) *재판매 및 DB 금지


【서울=뉴시스】송혜리 기자 = "안녕하세요 경찰청 사이버안전국입니다."

국가정보원과 독일 연방헌법보호청(BfV, 이하 헌보청)이 북한 해커조직 킴수키의 스피어 피싱(피싱메일) 공격에 주의를 당부한 가운데 이들 해커조직이 정부기관 등을 사칭한 대상 맞춤형 메일로 정보·자산 탈취를 시도하고 있는 것으로 나타났다.

킴수키는 국내는 물론 해외 전 지역을 대상으로 활동하는 북한 해커 그룹으로 '탈륨' '벨벳' '천리마' 등으로도 불린다. 2014년 한국수력원자력을 해킹한 것으로 알려졌으며, 국방과 안보·통일·외교관련 전문가들과 가상자산 등을 노린 사이버 공격을 다수 시도했다.

킴수키, 특정인 대상 맞춤형 피싱메일 보내 정보·자산 탈취

25일 관련 업계에 따르면 북한 해킹조직인 킴수키는 스피어 피싱 메일로 정보와 자산을 탈취하고 있다. '스피어 피싱'이란 특정인이나 특정 조직을 표적으로 정교하게 제작된 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격방식이다.

국가정보원과 독일 헌보청이 최근 발표한 합동 권고문에 따르면 킴수키는 악성 링크가 포함된 이메일을 피해자에게 발송, 크로미움 브라우저에서 작동하는 악성 확장 프로그램 설치를 유도했다.

피해자가 이 프로그램을 설치하면, 해커는 별도 로그인 없이도 피해자의 이메일을 실시간으로 빼돌릴 수 있다. 크로미움은 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트로, 구글 크롬, MS 엣지, 네이버 웨일 등이 크로미움 기반으로 제작됐다.

국정원은 "북한 정찰총국과 연계된 킴수키의 최근 공격이 대부분 스피어피싱을 통해 이뤄지고 있다"며 "사용자가 직접 악성 이메일 판별 방법을 배우고 의심스런 이메일 수신 시 유의사항을 준수해야 한다"고 강조했다.

안랩도 킴수키의 2022년 공격 방식을 분석한 '킴수키 그룹 2022년 동향 보고서'를 통해 킴수키가 맞춤형 스피어 피싱을 적극 활용했다고 분석했다.

안랩이 다양한 유관 악성 문서와 파일을 분석한 결과, 킴수키는 타깃 조직 및 개인과 연관성이 높은 주제로 좌담회·자문요청서·연구 결과보고서 등으로 위장한 악성문서를 제작해 악성코드 유포에 활용했다.

안랩 측은 "문서나 이메일 등을 실제와 분간이 어려울 정도로 정교하게 제작한 것으로 미뤄 볼 때, 공격그룹은 타깃에 대한 치밀한 사전 조사를 수행한 것으로 추정된다"고 설명했다.

경찰청 사이버안전국 사칭 메일…대북 관련 종사자에 발송

이스트시큐리티 시큐리티대응센터(ESRC)는 킴수키가 경찰철 사이버안전국 메일로 위장한 피싱메일로 해킹을 시도한 실 사례를 공개했다.

해당 피싱 메일은 대북 관련 법인 종사자에게 발송됐으며, 법령위반·법적책임 및 아이디 도용과 같은 단어들을 사용하면서 사용자의 불안감을 조성해 첨부파일 열람을 유도한다.

메일은 "안녕하세요 경찰청 사이버안전국입니다. 사이버안전국 사이버범죄 상담코너를 이용해 주셔서 감사드립니다."라고 시작한다.

이어 "회원님께서 발송하신 메일은 법령 위반의 우려가 있고, 경우에 따라서는 회원님께서 법적 책임을 부담하실 수 있습니다. 고객님께서 직접 네이버 메일 계정에서 스펨메일들을 발송한 적이 없는데 이 메일을 받았다면 다른 사람이 회원님의 아이디를 도용하였을 가능성도 있습니다."라고 설명했다.

그러면서 "자세한 내용은 첨부화일로 보내드립니다. 담당자 : 사이버수사기획계 김지국."으로 끝난다.

 본문 중 사용된 '화일'의 경우 북한의 '파일' 표기법이다.

첨부파일 내부에는 '정보통신망이용촉진 및 정보보호.chm'파일이 포함돼 있다. 사용자가 압축을 해제하고 chm 파일을 실행하면, 사용자에게는 정상적인 답변 내용이 포함된 도움말 창을 보여주지만 백그라운드에서는 Click() 함수를 통해 악성 스크립트가 실행된다.

ESRC는 "최근 chm 파일을 이용한 킴수키 조직의 공격이 다수 발견되고 있는 만큼, 대북 관련 종사자 여러분들의 각별한 주의가 필요하다"고 당부했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사