[데이터넷] 북한 배후 공격그룹 스카크러프트(ScarCruft)가 북한의 대표 해커인 ‘킴수키(Kimsuky)’에 대한 연구보고서로 위장한 사이버 첩보 활동을 벌이고 있는 것으로 나타났다. 미끼문서로 사용한 것 중에는 우리나라 보안 기업 지니언스가 공개한 연구 보고서로 위장한 것도 있다.

센티넬원의 위협분석조직 센티넬랩스과 북한 전문 언론 NK뉴스와 함께 분석한 이번 캠페인은 우리나라 학계의 북한문제 전문가와 북한 관련 소식을 다루는 언론사를 대상으로 했다. 이들은 북한연구소(INKS) 회원을 사칭해 ‘북한인권 전문가 토론회 발표 자료’, ‘북한 시장 물가 분석 자료’ 등의 내용으로 위장한 피싱 메일을 보낸다. 이 메일에는 백도어 유포를 위한 LNK가 첨부돼 있거나 OLE 포함 문서가 있으며, 모든 파일은 북한 관련 보고서로 위장한 제목을 갖고 있었다.

미끼 문서로 사용된 것 중 지니언스가 발표한 킴수키 위협 보고서도 있었다. 실제로 지니언스는 이 기간 보고서를 배포했는데, 스카크러프트는 정식 배포된 이 보고서로 위장한 악성문서로 북한 관련 연구자들을 속인 것으로 보인다.

센티넬랩스는 위협 인텔리전스 보고서를 원하는 전문가들을 속여 침투하기 위해 이러한 전략을 세웠으며, 비공개 사이버 위협 인텔리전스와 방어 전략에 대한 통찰력을 얻고자 이러한 캠페인을 벌이고 있는 것으로 분석했다.

보고서에서는 “스카크러프트는 멀웨어를 테스트하면서 공격무기를 혁신하고, 공격대상을 확장하고 있다. 이들은 위협 인텔리전스 커뮤니티에서 공개한 알려진 기법을 분석해 탐지를 회피하고 있다. 이러한 전략은 북한의 다른 위협그룹도 택하고 있을 것으로 보인다”고 설명했다.

김선애 기자 다른기사 보기