“北 해커그룹, 공격 정교하게 진화…표적 정하고 사이버 공격”

안랩 로고./안랩 제공

북한과 연계된 것으로 알려진 해킹 집단 ‘김수키’(Kimsuky)의 공격 방식이 보다 정교해지고 있는 것으로 드러났다.

24일 안랩은 북한 해커조직 김수키의 공격이 ‘목표(타깃) 맞춤형’으로 정교하게 진화하고 있으며 활용하는 악성코드도 다양해지고 있어 피해가 우려된다는 내용이 담긴 ‘김수키 그룹 2022년 동향 보고서’를 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 공개했다.

김수키는 지난해 특정 개인이나 단체 등 공격 대상을 미리 정하고 시도하는 피싱 공격인 ‘스피어피싱’ 수법으로 좌담회, 자문요청서, 연구 결과보고서 등을 위장한 악성 문서를 제작했다. 안랩은 “문서나 이메일 등을 실제와 구별이 어려울 정도로 정교하게 제작한 것으로 미뤄볼 때 치밀한 사전 조사를 수행했을 것이다”라고 밝혔다.

공격에 활용하는 악성코드도 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드, 원격제어 악성코드인 ‘RAT’ 등으로 확대했다. 그간 김수키는 키보드 움직임을 탐지해 정보를 탈취하는 악성코드 ‘플라워파워’나 백도어 악성코드 ‘애플시드’를 주로 사용해왔다.

김수키가 마이크로소프트 오피스의 취약점 ‘폴리나’를 노린 악성코드를 유포한 사실도 확인됐다. 폴리나는 지난해 1월 발견된 제로데이 취약점으로, 6월에 소프트웨어 보안패치를 마쳤다.

안랩은 “김수키는 앞으로도 공격 수법을 다변화할 것으로 보인다”면서 “최신 사이버 위협 정보를 습득하고 보안 수칙을 일상에서 실천해야 한다”고 조언했다.

김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌으며, 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격을 다수 시도했다.

변지희 기자(zhee@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>