안랩, 북한 해커 조직 '김수키' 2022년 동향 보고서 공개
"북한 전문가 외 일반 기업·개인도 표적으로 겨냥"
안랩이 공개한 북한 해커조직 '김수키'의 악성코드 유포 목적으로 제작된 문서 및 파일 사례. 안랩 제공
북한에서 양성한 것으로 알려진 해커조직 '김수키'가 지난해 사이버 공격 표적을 미리 설정한 후 사전 조사를 통해 '맞춤형' 메일을 보내는 '스피어피싱' 수법을 적극 사용한 것으로 나타났다.
안랩은 24일 '김수키 그룹 2022년 동향 보고서'를 자사의 위협 인텔리전스 플랫폼 '안랩 TIP'에 공개했다고 밝혔다. 김수키는 현재 가장 활발하게 활동하는 북한 해커조직 중 하나로 지난해 한국 국회의원실과 기자 등을 사칭해 북한 전문가들에게 좌담회 안내나 자문요청서, 사례비 지급의뢰서 등을 발송, 정보를 빼내려 한 사례를 경찰이 적발했다.
안랩의 보고서에 따르면, 이들은 지난해 북한 전문가뿐 아니라 일반 기업에나 개인에게도 정교하게 조작된 클릭을 이끌어내는 메일을 보낸 것으로 나타난다. 공개된 메일의 사례를 보면 이들은 사업 발주서, 품의서, 보도 자료와 암호화폐 송금을 유도하는 메일도 보냈다.
안랩은 "문서나 이메일 등을 실제와 분간이 어려울 정도로 정교하게 제작한 것으로 미루어 볼 때 공격 그룹은 타깃에 대한 치밀한 사전 조사를 수행한 것으로 추정된다"고 밝혔다.
이렇게 보낸 메일에 담긴 링크를 클릭하거나 문서를 다운로드받을 경우 컴퓨터에 악성코드가 설치돼 정보를 빼내게 된다. 김수키 그룹이 공격에 활용하는 악성코드도 다양해졌다. 웹브라우저 내 각종 정보를 유출하는 '인포스틸러' 악성코드, 원격제어 악성코드인 'RAT' 등을 활용하기 시작했다.
김수키가 마이크로소프트 오피스의 취약점 '폴리나'를 노린 악성코드를 유포한 사실도 확인됐다. 이 취약점은 지난해 6월에 패치가 배포됐지만 패치를 제대로 하지 않으면 이를 활용한 공격에 노출될 수 있다고 안랩은 지적했다.
안랩은 "김수키는 앞으로도 공격 수법을 다변화할 것으로 보인다"면서 "최신 사이버 위협 정보를 습득하고 보안 수칙을 일상에서 실천해야 한다"고 조언했다. 구체적으로는 출처가 불분명한 메일의 첨부 파일을 받거나 링크를 누르는 것을 자제하고 보안 패치와 백신 업데이트를 꾸준히 업데이트해 최신 보안 상태를 유지해야 한다고 밝혔다.
기사 URL이 복사되었습니다.
댓글0