전문가 의견 수렴하며 북한 대외 전략 수립 위한 정보 수집
지능적인 사회공학 기법으로 타깃 피해자 속여
[데이터넷] 유명 언론사나 기자로부터 북한의 위성 발사에 대한 의견을 묻는 내용의 이메일을 받았다면, 이는 북한 배후 위협 그룹의 피싱 공격일 가능성을 의심해야 한다. 북한 배후 공격그룹은 잘 알려진 언론사와 기자를 사칭해 전문가의 의견을 묻거나, 논문 작성을 의뢰하고, 공개된 논문에 대한 전문가의 의견을 묻는 방식으로도 정보를 수집한다.
우리나라와 미국이 공동으로 북한 배후 위협 그룹 ‘킴수키(Kimsuky)’에 대한 합동 보안 권고문을 2일 발표하고, 대북 독자제재대상으로 지정했다. 킴수키는 북한 정찰총국 산하 공격그룹으로, 탈륨, APT43, 벨벳천리마, 블랙 밴시 등으로도 불린다. 2012년 경부터 전 세계 주요국의 외교, 안보, 국방 분야 개인·기관을 대상으로 첩보활동을 수행했으며, 무기개발, 인공위성, 우주 관련 첨단기술을 탈취했다.
이들은 사회공학 기법을 이용하는데 탁월한 것으로 알려진다. 기자, 학자, 싱크탱크 연구원, 정부 관료 등을 사칭해 전문가의 의견을 수렴하면서 북한의 대외 전략을 수립하는데 도움이 되는 정보를 수집한다. 전문가에게 요청하는 내용은 주로 외교정책관련 질문에 대한 답이나 설문조사, 인터뷰, 이력서 송부 요청, 연구물 작성에 대한 보수 지급 제안, 문서 검토 요청 등이다.
권고문에서는 “킴수키가 사용하는 사회공학 기법 공격의 위협 수준이 높지 않다고 생각할 수 있다. 피해자들은 자신이 언급한 내용이 민감하지 않은 것이라고 생각하기 쉽기 때문”이라며 “그러나 북한은 정책 분석가를 통해 획득한 정보에 의존하고 있다. 다양한 전문가의 의견을 모아 북한은 외교정책 분야 통찰력을 가질 수 있다. 또 이 정보로 또 다른 스피어피싱 공격을 진행할 수 있다”고 밝혔다.
실제 인물 사칭하며 공격 이어가
킴수키는 인터넷 등에 공개된 정보를 이용해 목표 사용자에게 접근한다. 목표 사용자가 신뢰할 수 있는 사람이나 기관을 도용한 가짜 프로필을 만들고, 사용자가 관심가질만한 내용으로 위장해 접근한다.
그리고 일정 기간동안 교류하면서 친분을 쌓은 후 악성링크에 방문하도록 하거나 악성앱을 설치하도록 유도한다. 이들이 사칭하는 계정은 정상 사용자의 이름·계정과 유사하지만 약간 다른 철자를 사용하기 때문에 언뜻 봐서는 사칭 계정인지 알지 못하게 한다. 예를 들어 kim@abc1.com이라는 계정을 사칭하기 위해 숫자 1을 소문자 l로 한 kim@abcl.com이라고 한다.
킴수키는 목표 사용자에게 여러 신분을 이용해 접근하기도 하는데, 공격 대상에 최초 접근할 때 하나의 신분을 사용하고, 또 다른 신분으로 최초 접근에 대한 후속 연락을 취하면서 피해자가 자신이 교류하고 있는 사람의 진짜 신분을 파악하는 것을 방해한다. 또 이들은 공격 대상이 첫번째 메일에 응답하지 않으면 끈질기게 접근한다. 첫 번째 메일을 보낸 후 2~3일 내에 후속 메일을 보내 메일에 답하도록 한다.
공개된 정보로 첫번째 공격 목표 정해
피해자와 신뢰를 쌓기 위해 메일에 믿을만한 보고서와 기사를 첨부하는데, 여기에 악성링크나 악성코드를 숨기기도 한다. 가장 많이 사용하는 공격 방식은 악성문서에 비밀번호를 설정해 보안장비가 탐지하지 못하도록 하는 것이다. 공격에 사용되는 악성 콘텐츠는 메일에 직접 첨부하거나 구글 드라이브, 원드라이브 등 파일 저장소를 이용한다. 파일 저장소는 링크를 통해 공유되기 때문에 메일과 문서의 악성코드를 검사하는 솔루션으로는 탐지되지 않는다.
목표 사용자에게 침투한 공격자는 피해자의 이메일 서명, 주소록, 과거 이메일 수발신 기록을 학습하고, 이를 재가공해 설득력있는 스피어피싱 메일을 제작, 또 다른 공격에 이용한다. 외교정책 전문가의 이메일 계정을 탈취해 이들의 메일 계정과 신분을 도용해 다른 표적과 친분을 쌓고 또 다른 공격 발판을 만든다.
이들은 실제 웹사이트와 포털, 모바일 앱을 모방한 가짜 사이트, 가짜 앱을 만들어 사용자가 개인정보를 비롯한 여러 정보를 입력하도록 유도하고, 피해자의 통신내용에 대해 지속적으로 접근할 수 있는 권한을 획득하기도 한다.
권고문에서는 “킴수키는 초기에 악성링크와 악성파일 없는 공격을 시작하는 경우가 많으며, 이 후 소통 과정에서 컴퓨터와 네트워크에 침투하기 위한 악성링크, 악성문서를 보내 감염을 시도한다. 사칭된 이메일 계정은 대학교 안내책자, 공식 웹사이트 등을 통해 알 수 있는 것이며, 비공식 사설메일을 사용한다”고 설명했다.
출처 확인되지 않은 미메일 열람 주의
권고문은 이러한 위협에 대응하기 위해 지켜야 할 보안 수칙을 안내했다
- 강력한 암호, 다단계 인증, 백신 설치 등 기본 사이버 보안 조치를 이행한다.
- 출처가 확인되지 않은 이메일을 통해서 혹은 이메일을 통해 받은 문서 열람에 주의하며, 매크로를 실행하지 않는다. 이메일에 삽입된 URL을 클릭하지 말고 검색엔진을 통해 웹사이트를 검색한다. 별도의 메시지 플랫폼으로 이동해 소통하자고 하면 주의한다.
- 상용 공급자 사칭 비공식 계정, 또는 개인 이메일에서 오는 메시지 열람에 주의하며, 북한 행위자들이 사용하는 도메인에 주의한다.
- 지인 혹은 기업·기관으로 접근하는 이메일 계정의 소유자를 확인한다. 기존에 알고 있던 연락처로 확인하며, 의심스러운 경우 해당 기관의 공식 웹사이트를 통해 확인한다.
- 상대의 신분을 확인할 수 없을 경우, 화상전화를 통해 신분을 확인한다.
