[데이터넷] 사이버 보안 환경은 공격자에게 일방적으로 유리한 환경이라고 하지만, 공격자 입장에서는 모든 조건에서 유리하기만 한 것은 아니다. 그들도 기간 내에 달성해야 할 목표가 있으며 공격 자금을 지원하는 배후세력의 요구를 만족해야 한다는 압박감을 갖고 있다. 그들 역시 가용 리소스와 시간, 비용이 부족하다는 문제를 해결하기 위해 이미 사용해 본 공격 코드를 반복 재사용하거나 취약점을 제거하지 않아 보안 탐지에 걸리게 된다.

금융보안원 소속 김재기, 곽경주, 장민창 연구원이 북한 정부 후원을 받는 사이버 해킹 그룹 ‘킴수키(Kimsuky)’에 대한 분석 보고서를 글로벌 보안 테스트 전문기관 바이러스 불레틴(VB)을 통해 공개하며, 이 같은 공격자들의 행위에 대해 자세히 설명했다.

보고서에 따르면 이들은 악성메일 제작을 위한 전용 툴킷을 만들어 반복적으로 사용했으며, 위조된 피싱 페이지를 구성할 때에도 기존의 소스코드와 URL의 특정 인수를 재사용하는 특징을 보였다. 제한된 시간 내에 제한된 리소스로 작업하기 때문에 이미 알려진 공격 코드를 다시 사용하거나 C&C 서버 운영 실수로 정보가 유출되고 취약점이 노출되기도 하며, 공격에 실패하는 경우도 생긴다.

킴수키는 2014년 한국수력원자력 해킹 배후로 지목되면서 주목받아왔으며, 2018년부터 지능적인 스피어피싱을 통해 정부와 군, 안보, 통일 관련 전문가, 언론인 등을 타깃으로 정보수집 활동을 벌여왔다.

킴수키 공격활동은 카스퍼스키랩이 2013년 9월 발견한 것을 시작으로 지속적으로 감지됐다. 주로 우리나라 정부기관과 탈북인 및 탈북단체, 전문가 등을 대상으로 공격해왔으며, 한글문서를 사용한다는 특징이 있다.

스피어피싱을 통해 2014년 한국수력원자력 임직원을 감염시켜 PC 디스크 파괴를 시도했으며, 2015년에는 포털과 이메일 계정 해킹 시도, 2016년 청와대 국가안보국을 사칭한 악성메일로 정부 연구소와 전문가 조직 침투를 시도했다. 2019년에는 통일부 보도자료를 사칭해 통일부 출입기자를 감염시켰으며, ‘TF 참조 정보’ 등 피해자가 꼭 필요로 하는 정보인 것으로 위장했다.

보고서는 “킴수키 그룹은 한국의 특수한 상황을 이용하기 위해 한글로 만든 문서를 반복적으로 이용하고 있는데, 반복되는 코드 재사용과 공격 패턴, 실수에 의한 공격 실패 등이 발견된다. 이를 단서로 분석팀은 다양한 중요 정보를 얻을 수 있게 됐다”며 “이 정보를 통해 다음 공격을 예측·추론할 수 있어 적절한 사전 대응 조치를 취할 수 있다. 이 백서가 국내외 여러 지역의 위협에 대응하는데 도움이 되기를 바란다”고 말했다.

김선애 기자 다른기사 보기