'우영우'가 다룬 '스피어 피싱'…北해커 '킴수키'도 썼다

안랩, 유명 해커 '킴수키'의 지난해 '공격 방식' 분석

특정인 대상 사칭 메일 발송…유명 SW 취약점 악용

악성코드 유포 목적으로 제작한 악성문서 및 파일 (안랩 제공)

(서울=뉴스1) 오현주 기자 =
"안녕하십니까. 국회0000팀입니다. 바쁘신데도 자문 요청수락해주셔서 감사드리며 옥고를 부탁드립니다"

"한국 핵무장 관련 전문가 온라인 간담회"

북한 연계 해킹조직 '킴수키'(Kimsuky)가 최근 이같은 문구를 담은 타깃 맞춤형 '스피어 피싱' 메일을 보내 공격하는 것으로 나타났다. 또 악성코드 종류도 다양하게 쓰고, 유명 소프트웨어(SW)의 취약점을 악용한다는 분석이 나온다.

보안기업 안랩(053800)은 24일 자사 위협 인텔리전스 플랫폼 '안랩 TIP(팁)'에 킴수키의 지난해 공격 방식을 분석한 보고서를 공개하며 이같이 밝혔다.

킴수키 그룹은 특정 대상을 정해놓고 공격하는 '스피어 피싱' 방식을 적극 활용했다. 지난해 방영된 드라마 <이상한 변호사 우영우> 마지막회에 나온 수법으로 유명하다. 이는 특정인이나 특정 조직을 표적으로 정교하게 만든 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격이다.

특히 '킴수키'는 △좌담회 △자문요청서 △연구 결과보고서 등을 위장한 악성문서를 제작해 악성코드 유포에 활용했다.

해커가 쓰는 악성코드 종류도 훨씬 늘었다. 킴수키는 웹 브라우저 속 각종 정보를 유출하는 '인포스틸러'와 원격제어 악성코드 'RAT'(원격관리툴)도 쓰는 것으로 발견됐다.

유명 소프트웨어의 취약점을 활용하려는 시도도 포착됐다. 안랩은 킴수키 그룹이 사용한 것으로 보이는 FTP 서버에서 MS 오피스 관련 취약점인 '폴리나'를 악용하는 악성코드를 발견했다. '폴리나' 취약점은 지난해 6월 패치가 배포됐으나 보안패치를 적용하지 않은 조직과 개인은 공격에 노출될 수 있다.

교묘해진 해킹 수법에 대비해 조직 내 보안 담당자는 △PC·운영체제·SW 및 웹사이트에 대한 보안 현황 파악 △취약점 상시 파악 및 보안패치 적용 △임직원 보안교육 실시 △최신 공격동향 및 취약점 정보 확보 및 정책 수립 수행에 신경써야 한다.

또 개인에게는 △출처가 불분명한 메일 속 첨부파일이나 URL(인터넷 주소) 실행 자제 △최신 보안 패치 적용 △로그인시 비밀번호 외 이중 인증 사용 △백신 최신버전 유지 및 실시간 감시기능 실행이 권고된다.

안랩 측은 "킴수키 그룹은 앞으로도 다양한 방식으로 공격 수법을 변화시킬 것으로 보인다"며 "조직과 개인은 최신 사이버 위협 정보를 습득하고 기본 보안수칙을 일상에서 실천해야 한다"고 말했다.

woobi123@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포 금지.