외교부, 통일부, KISA 등 국내 주요 정부기관 사칭해 공격 감행

비실행형 악성 파일 전략적 활용...이메일, SNS 등을 통해 내려받은 파일은 주의해야

[보안뉴스 김영명 기자] 북한의 김수키(Kimsuky) 해킹그룹은 2023년에도 국내에서 사이버 정찰·침투활동을 꾸준히 진행해 왔다. 더욱이 2024년의 경우 우리나라에서 총선이라는 정치 이벤트가 예정돼 있어 김수키를 비롯한 북한 해킹그룹의 사이버정찰 활동은 더욱 확대될 것으로 보인다. 이에 그간 진행됐던 김수키의 유형별 주요 공격사례를 살펴볼 필요가 있다.

​

▲해킹 공격에 쓰인 피싱 이메일 및 발신 도메인 정보[자료=사이버보안대연합 보고서]

초기 공격 벡터, 투-트랙 스피어피싱 공격으로 진행

2023년 6월 21일 외교부 평화체제과 사무관을 사칭해 한반도평화교섭본부 통일외교 세션으로 위장된 참석요청 이메일이 발견됐다. 처음 수신된 이메일에는 평범한 업무 메일처럼 보이지만, 발신지 이메일 주소를 보면 외교부 공식 도메인과 비슷한 가짜 도메인 주소를 사용했다.

이 위협은 투-트랙(Two-Track) 스피어피싱 공격으로, 첫 이메일에 반응한 수신자를 공격한다. 메일 내 ‘평화체제과 통일외교 관련세션 기획(안)’ 파일은 보안메일로 위장해 [보안메일보기] 클릭을 유도한다. 버튼을 클릭하면 지메일 로그인으로 위장한 피싱 화면이 보인다. 비밀번호를 넣으면 PDF 문서가 보이지만, 계정 정보는 유출된 이후다.

​

▲피싱 서버로 악용된 한국의 특정 웹 서버 화면[자료=사이버보안대연합 보고서]

2023년 7월 28일에는 또 다른 인물 상대로 동일 패턴 수법의 공격이 있었다. ‘0908_평화체제과 통일외교관련 세션 기획(안)’이란 제목의 PDF 첨부파일로 이름이 변경됐고, 악용된 호스트 주소도 변경됐다. 8월 31일과 9월 1일에는 통일부 소속 공직자를 사칭한 공격으로 변화가 진행된다. 이때 사용된 발신지 이메일의 도메인도 외교부 사칭 주소와 유사한 패턴이 사용됐다.

지난해 중순, 외교부 및 통일부, KISA 사칭해 피싱 공격 이어가

김수키 해킹그룹은 지난해 6월부터 9월 초까지 외교부와 통일부를 번갈아 가며 사칭 후 북한문제 전문가를 포함해 특정 인물을 상대로 이메일 비밀번호 탈취 공격을 했다. 또한 ‘아기상어(BabyShark)’ 공격 툴킷이 활용된 정황을 포착했다. 해당 유형 악성 파일은 2019년 2월 팔로알토네트웍스 유닛42 연구원이 북한 연계 사이버 위협 활동 사례 분석 보고서로 공개했다.

2023년 9월 10~19일에는 한국 내에서 김수키 그룹 아기상어 툴킷용 악성 파일 다수가 발견된다. 주로 ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’ 유형이 사용됐으며, 일부 공격은 HTML 파일 내부에 압축파일을 임베디드로 넣는 수법이 사용됐다.

​

▲DOC 악성 문서 파일의 실행 모습과 사용자 정보[자료=사이버보안대연합 보고서]

공격자들이 다양한 종류의 파일을 실전 공격에 사용했으며 TTPs 측면에서 공통 패턴이 다수 관측된다. 공격자는 원격 템플릿 삽입 기술로 별도의 매크로 파일을 호출한 방식도 사용했다. 공격자 추정의 계정은 ‘Leopard’와 ‘puma’, ‘Coyote’ 등 육식 동물 이름이 사용됐다.

김수키 연계 공격 사례를 조사하다 보면, 위협 행위자가 북한식 단어 표기법을 사용하는 등 신분 노출에 영향을 미치는 표현 실수와 흔적이 존재한다. 물론, 남북한 간 언어학적 비교 분석 및 문화 차이를 제대로 이해할 수 있어야 한다.

​

▲한국인터넷진흥원 사칭한 해킹 메일 화면[자료=사이버보안대연합 보고서]

먼저 한국인터넷진흥원 협조요청 메일 위장 건은 2022년 6월 KISA의 사이버 위협 주의 경보 발령으로 위장, 대북분야 종사자를 겨냥했다. 이때 ‘docx 바이러스 문서 확인 방법.doc’이라는 악성 문서를 첨부했고, 본문에는 ‘비대면 서비스’의 북한 표현인 ‘비대면 봉사’가 사용됐다. 메일 내 [콘텐츠 사용] 버튼을 누르면 본문에 ‘글이 현시됩니다(나타납니다)’라고 나온다.

다음으로 학술회의 안내 메일 위장 건을 살펴보면, 2021년 12월에는 마치 국제정치학회의 연례학술회의 안내문처럼 위장했다. 당시 발견된 해킹메일 본문에는 일반적으로 북한식 문장 표기에 자주 쓰이는 ‘내부망이 불비하니’ 표현이 사용됐다.

세 번째로 미국 도널드 트럼프 전 대통령 문서 위장 건을 살펴보면, 2020년 3월에 한국 내 특정 정치인을 사칭한 공격자는 ‘Letter to President Donald Trump.doc’ 이름의 악성 문서로 공격했다. 파일 내부에는 ‘스파이와 련동’이라는 북한식 표기의 주석도 달렸다.

사이버 위협 분야에서의 신속한 민·관 협력, 무엇보다 중요

지난해 9월 중순에 국내 대북 및 통일분야 종사자를 겨냥해 수행된 스피어피싱 공격 중 일부 화면을 보면, 북한 전략 정보 분야 전문가의 보고서처럼 위장하고 통일부 면담 요청 내용으로 보인다. 압축파일을 첨부한 경우와 보안용 HTML 파일처럼 위장된 악성파일이 포함됐다.

‘북의 핵위협 양상과 한국의 대응방향.alz’ 압축 파일 내부에는 ‘북의 핵위협 양상과 한국의 대응방향.chm’ 파일, ‘email_17107031014.html’에는 ‘통일부 인권인도실장 면담 관련.rar’ 파일이 있다. 2023년 9월에는 외교·통일분야 특정인을 표적으로 스피어피싱 기반 첩보 정황을 식별했다. 공격자는 알집 포맷으로 보안 파일처럼 위장했으며 내부에는 악성파일이 포함됐다.

첨부된 악성 파일을 분석했을 때 스피어피싱 공격 메일에 첨부됐던 ‘북의 핵위협 양상과 한국의 대응방향.alz’ 파일은 알집(ALZ) 포맷 압축파일이며, 내부에는 ‘북의 핵위협 양상과 한국의 대응방향.chm’ 이름의 컴파일된 HTML 도움말 파일(.chm)이 포함됐다. 또한 컴퓨터 부팅 시마다 작동하도록 구성됐다.

​

▲북한 핵위협 양상과 한국 대응방향 관련 문서로 위장한 공격 메일[자료=사이버보안대연합 보고서]

데이터에는 악성 명령이 포함된 ‘desktops.ini’ 파일을 호출하기 위해 시스템 경로의 ‘cscript.exe’ 파일을 선언한다. 명령제어(C&C) 서버와 통신되면 컴퓨터 시스템 정보, 프로세스 리스트, 다운로드 폴더 정보 등을 수집해 조건에 따라 ‘Info.txt’ 파일로 전송을 시도한다.

공격자는 미끼용 정상 HWP 문서파일과 폴더 옵션 확장자 숨김 디폴트 설정에 따라 마치 HWP 파일처럼 보이게 만든 이중 확장자의 LNK 악성 파일을 공격 전략으로 사용했다. C&C에 접속되면 조건에 따라 컴퓨터 하드웨어 및 OS 정보, 폴더 및 프로세스 리스트 등이 수집된다. 김수키 그룹의 APT 캠페인별 코드를 볼 때 2022년 하반기에는 주로 DOC 유형의 악성파일이 활용됐으며, 2023년에는 CHM 유형의 악성파일이 유사한 코드 형태로 발견됐다.

이번 공격을 분석한 지니언스 시큐리티센터 문종현 이사는 “국가 연계 위협 행위자들은 국내외 많은 웹 서버를 불법 침투하거나 직접 구축해 또 다른 공격 거점으로 악용하기 때문에, 사이버 위협 분야에서 신속한 민·관 협력은 무엇보다 중요하다”며 “최신 사이버 위협 동향을 숙지하고, 보안 교육과 시스템의 개선도 요구된다”고 말했다. 이어 “한국은 은밀한 북한발 해킹 공격이 지속되고 있으며, 특히 비실행형 악성 파일이 전략적으로 활용 중이기 때문에 이메일, SNS 등을 통해 내려받은 파일은 실행할 때 주의해야 한다”고 덧붙였다.

[김영명 기자(boan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=125415&page=1&mkind=1&kind=1)]