북한 정찰총국 산하 해킹조직인 ‘김수키’(Kimsuky)’가 언론사나 북한 인권분야 공직자 신분을 사칭해 해킹 공격에 나서고 있다. 기존 해킹 공격과 다른 점은 신뢰를 쌓기 위해 지속적으로 연락하며 접근한다는 점이다. 일반인들이 잘 사용하지 않는 마이크로소프트 관리 콘솔(MSC) 문서 등으로 위장해 백신을 피하기도 하는 등 수법이 점점 교묘해지고 있다.
7일 지니언스 시큐리티대응센터(GSC)에 따르면 최근 김수키는 국내 북한인권 분야 소속 공직자처럼 위장한 페이스북 계정을 만든 후, 주요 대북분야 및 안보관련 종사자를 대상으로 온라인 친구신청과 전용 메신저로 접근을 시도했다. 특히 이번 사례는 한국 내 특정 공직자 프로필을 만든 것이 특징이다. 실존 인물의 명의를 도용해 소셜미디어(SNS) 기반 공격에 악용한 것이다.
지니언스는 “이메일 기반의 스피어 피싱 공격 전략과 유사하지만 페이스북 메신저를 통해 상호 소통하고 신뢰도를 높이며 진행했다는 점은 김수키의 공격이 점점 과감해진다는 것을 뜻한다”고 분석했다.
공격에 활용된 페이스북 화면에는 공공기관에서 찍은 것으로 보이는 배경사진이 등록돼 있다. 공직자로 위장한 위협 행위자는 자신이 작성한 비공개 문서를 페이스북 친구에게 공유해 주는 척하며 환심을 사려고 했다. 메신저로 전달받은 내용을 보고 원드라이브(OneDrive) 링크에 접속하면, 파일 다운로드 화면이 나타난다. 파일명에는 전 미 국방부의 핵 및 미사일 방어 정책담당 차관보를 역임한 ‘DR. ROBERT SOOFER’ 이름이 기재돼 있었다.
파일 확장자는 ‘msc’로 ‘마이크로소프트 관리 콘솔(Microsoft Management Console)’ 문서였다. 파일을 내려받으면 악성코드가 심어지는데, 해당 악성 파일은 다국적 60개 안티 멀웨어 스캐너로도 위협요소를 탐지하지 못했다. 지니언스는 “김수키 공격에서 보기 드문 형태”라며 “기존에 널리 알려지지 않은 패턴이어서 실전 공격에 높은 효과를 발휘했다”고 설명했다.
김수키는 외신 통신사 소속의 연구원 신분으로 위장해 다수의 북한 인권 활동가들을 대상으로 접근하기도 했다. ‘한반도 평화 주제 관련 서면 인터뷰 요청’ 등의 방식으로 스피어 피싱 공격을 벌였다. 이 공격도 단순히 악성 URL이나 첨부파일을 초반부터 보낸 것이 아니라 정상적으로 질문·협조 요청을 하거나 신뢰를 쌓기 위해 지속적으로 친밀한 대화를 이어나간 것이 특징이다. 이 공격에서도 ‘msc’문서를 활용했다.
김수키는 인터뷰 요청을 하면서 대상자와 여러 차례 정상적인 이메일을 주고 받았다. 그 과정에 ‘인터뷰메모(2405).hwp’라는 이름의 악성 파일을 참고자료로 전달했는데, 배포용 문서라 본문 내에 기사 초안을 링크로 넣었다며, ‘개체 연결 삽입(OLE)’ 실행을 유도했다. 또 이메일 본문에 원드라이브(OneDrive) 클라우드 링크를 포함해 전달했다. 대상자에 따라 다른 링크가 사용됐는데, 발견된 종류로는 ▲양자암호기사(초안).msc ▲Pocantico Agenda_Jun 4-6.msc ▲Interview by Reuters(SeanKing).msc 등이다.
지니언스는 “해당 이메일 내용 중 ‘래일’이라는 단어가 발견됐는데 ‘통일부 북한정보포털 남북한 언어 비교’에 따르면 ‘내일’의 북한어 표기법”이라며 “남북한 언어 차이에 대한 이해도 및 관심이 높지 않다면 북한 표기법을 즉각 식별하는 것은 쉽지 않을 수 있어 유의해야 한다”고 밝혔다. 그러면서 “msc 파일도 다운로드 후에는 마치 워드(Word), PDF 문서처럼 보이도록 아이콘이 조작됐다”며 “평소 쉽게 접할 수 있는 문서 아이콘 형태로 위장한 점에 각별히 유의해야 한다.파일의 확장자를 유심히 살펴봐야 한다”고 밝혔다.