“출처 불분명한 첨부문서 조심”…北 해커, 위장문서 보내 공격

[이데일리 김새미 기자] 북한 해커그룹 ‘김수키(Kimsuky)’가 타깃에 대한 치밀한 사전 조사 후 위장 문서를 통해 악성코드를 유포하는 등 해킹 방식이 더욱 정교해지고 있다.

(사진=안랩)

안랩이 공개한 ‘김수키그룹 2022년 동향 보고서’에 따르면 지난해 김수키그룹은 타깃을 속이기 위해 최적화된 스피어피싱 수법을 적극 활용한 것으로 파악됐다. 스피어피싱은 특정인이나 조직을 표적으로 제작된 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격 방식이다.

주요 공격 대상은 북한·외교·안보 전문가이지만 일반 기업이나 개인도 표적이 됐다. 김수키는 공격 대상과 연관성이 높은 주제로 좌담회, 자문요청서, 연구결과보고서 등으로 위장한 문서를 메일로 보내 악성코드 감염이나 피싱(사기) 사이트 접속을 유도했다. 실제 문서나 이메일과 분간이 어려울 정도로 발전했기 때문에 출처가 불분명한 메일의 첨부 파일을 받거나 링크를 누르는 것을 자제해야 한다는 게 안랩 측의 조언이다.

악성코드의 종류도 다변화됐다. 기존에 사용했던 특정 키로깅이나 백도어 악성코드뿐 아니라 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드나 원격제어 악성코드(RAT)도 추가로 발견됐다. 마이크로소프트(MS) 오피스 관련 취약점 ‘폴리나’을 악용하는 악성코드도 발견됐다. 이에 보안 전문가는 최신 보안 패치를 적용하고, 로그인 시 비밀번호 외에 이중 인증을 사용할 것을 권고했다.

안랩 관계자는 “김수키 그룹은 명확한 타깃을 설정하고, 이 타깃에 대해 고도화된 공격을 진행하는 것으로 나타났다”며 “해당 그룹은 앞으로도 다양한 방식으로 공격 수법을 변화시킬 것으로 보인다”고 말했다.

한편 김수키는 2014년 한국수력원자력을 공격한 배후로 알려진 해킹그룹이다. 국가정보원은 김수키가 북한에서 양성한 해커조직이며, ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로도 활동하고 있다고 알렸다.