美, 북한 해킹그룹 '김수키' 공격 경고. "한국이 주타깃"
한국내 코로나19 백신연구 제약회사 등 사이버공격
미 국토안보부(DHS) 산하 사이버안보 기반시설 안보국(CISA), 연방수사국(FBI), 사이버사령부 산하 사이버 국가 임무군(CNMF)이 27일(현지시간) 북한 해킹그룹 ‘김수키(Kimsuky)’의 사이버 공격에 대한 합동 경보를 발령했다.
<미국의소리(VOA)>에 따르면, 이들은 "북한의 지능형 지속 공격(APT) 해킹그룹 '김수키'는 한반도와 관련한 핵, 제제, 한반도와 관련한 외교 정책, 국가 안보 문제에 대해 집합적 정보활동에 초점을 맞춘다"라며 "이들 표적은 미국, 한국, 일본"이라고 밝혔다.
매튜 하 민주주의수호재단(FDD) 사이버안보 담당 연구원은 <VOA>에 "FBI 등이 참여한 이번 경보는 김수키 조직이 노린 한국내 싱크탱크 등 전략적 표적들에 큰 비중을 뒀다"면서 "김수키 조직이 한국내 코로나 백신 연구 제약회사들을 사이버 공격했다는 최근 한국 보안업계의 보고가 이를 뒷받침한다"며, 한국이 주 타깃임을 강조했다.
'김수키' 조직은 지난 6월 한국 청와대 보안 메일을 사칭한 APT 공격을 한국내 미상의 표적들을 상대로 감행했고, 2014년 한국수력원자력을 해킹해 일부 기밀 자료를 유출해 공개한 바 있다.
이들이 공개한 보고서에 따르면, 김수키 조직은 2012년부터 한국, 일본, 미국의 개인·단체로부터 북한 정권에 이익이 되는 한반도, 핵, 제재 등과 관련한 외교 정책과 안보 관련 정보를 탈취해왔다.
이를 위해 특정 표적을 대상으로 같은 사이버 공격을 지속하는 ‘지능형지속위협(APT)’이 사용됐다.
또한 구체적 APT 공격 방법으로 표적을 현혹하기 위해 사회공학기법(Social Engineereing)이 사용됐다며, 사회공학기법의 예로 한국기자를 사칭해 한반도 전문가에게 화상 인터뷰를 요청하는 방법을 적시했다.
구체적으로 김수키는 한국의 기자를 사칭해 남북 관계, 비핵화 문제 등에 대해 스카이프로 인터뷰를 하자거나 방송에 출연해 달라는 내용의 이메일을 보내 이에 속아 응하면 날짜를 의논하는 방법으로 신뢰 관계를 일단 형성해 접근하는 수법을 썼다. 이 허위 인터뷰를 최종 수락하면 김수키는 인터뷰 자료라면서 멀웨어, 악성코드가 담긴 첨부 문서나 구글 드라이브 링크를 이메일로 보내 이를 열어보도록 유도한 뒤, 인터뷰 날짜가 다가오면 수신자에게 인터뷰가 취소됐다는 메일을 보냈다.
이밖에 코로나, 북핵 프로그램 등의 주제도 표적을 현혹하는 미끼로 쓰였다고 보고서는 덧붙였다.
<미국의소리(VOA)>에 따르면, 이들은 "북한의 지능형 지속 공격(APT) 해킹그룹 '김수키'는 한반도와 관련한 핵, 제제, 한반도와 관련한 외교 정책, 국가 안보 문제에 대해 집합적 정보활동에 초점을 맞춘다"라며 "이들 표적은 미국, 한국, 일본"이라고 밝혔다.
매튜 하 민주주의수호재단(FDD) 사이버안보 담당 연구원은 <VOA>에 "FBI 등이 참여한 이번 경보는 김수키 조직이 노린 한국내 싱크탱크 등 전략적 표적들에 큰 비중을 뒀다"면서 "김수키 조직이 한국내 코로나 백신 연구 제약회사들을 사이버 공격했다는 최근 한국 보안업계의 보고가 이를 뒷받침한다"며, 한국이 주 타깃임을 강조했다.
'김수키' 조직은 지난 6월 한국 청와대 보안 메일을 사칭한 APT 공격을 한국내 미상의 표적들을 상대로 감행했고, 2014년 한국수력원자력을 해킹해 일부 기밀 자료를 유출해 공개한 바 있다.
이들이 공개한 보고서에 따르면, 김수키 조직은 2012년부터 한국, 일본, 미국의 개인·단체로부터 북한 정권에 이익이 되는 한반도, 핵, 제재 등과 관련한 외교 정책과 안보 관련 정보를 탈취해왔다.
이를 위해 특정 표적을 대상으로 같은 사이버 공격을 지속하는 ‘지능형지속위협(APT)’이 사용됐다.
또한 구체적 APT 공격 방법으로 표적을 현혹하기 위해 사회공학기법(Social Engineereing)이 사용됐다며, 사회공학기법의 예로 한국기자를 사칭해 한반도 전문가에게 화상 인터뷰를 요청하는 방법을 적시했다.
구체적으로 김수키는 한국의 기자를 사칭해 남북 관계, 비핵화 문제 등에 대해 스카이프로 인터뷰를 하자거나 방송에 출연해 달라는 내용의 이메일을 보내 이에 속아 응하면 날짜를 의논하는 방법으로 신뢰 관계를 일단 형성해 접근하는 수법을 썼다. 이 허위 인터뷰를 최종 수락하면 김수키는 인터뷰 자료라면서 멀웨어, 악성코드가 담긴 첨부 문서나 구글 드라이브 링크를 이메일로 보내 이를 열어보도록 유도한 뒤, 인터뷰 날짜가 다가오면 수신자에게 인터뷰가 취소됐다는 메일을 보냈다.
이밖에 코로나, 북핵 프로그램 등의 주제도 표적을 현혹하는 미끼로 쓰였다고 보고서는 덧붙였다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
