"국가안보실이니 회신 바랍니다" 北 '김수키'에 4명 중 1명 속았다

[아이뉴스24 김다운 기자] #. 존경하는 정책자문위원님께, 보안서약서를 읽어보시고 성명 및 서명을 자필로 작성하신 후 메일로 회신해주시면 됩니다.

북한 해킹 조직으로 알려져 있는 '김수키(Kimsuky)' 조직의 스피어피싱 메일이 발송돼 주의가 당부된다.

북한 해킹 이미지 [사진=뉴시스]

3일 보안전문기업 하우리는 북한 해킹 조직으로 알려져 있는 김수키(Kimsuky)의 스피어피싱 사례가 빠르게 늘고 있다고 밝혔다. 스피어피싱은 특정 개인 또는 그룹을 대상으로 하는 피싱 공격을 말한다.

하우리에 따르면 2023년 1월~10월까지 계정 24개가 사칭 당하고, 메일서버 16개가 스피어피싱에 사용됐다. 해당 메일은 국내와 해외 주요 기관 소속 인사 400명 이상에게 보내졌다.

이들은 한국CFO협회, 조지타운 대학교, 국제평화협회, 대한민국 외교부, 일본 외무성, 대한민국 외교부, 대통령실, 전미북한위원회 등의 기관을 사칭했다.

정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭해 은밀하고 자연스러운 스피어피싱 메일이 지속적으로 발송됐다는 설명이다.

타깃 대상에게 악성코드를 바로 첨부해서 보내는 것이 아니라 새해맞이, 크리스마스 같은 안부메일이나 회의요청, 미팅요청, 자문요청, 전문가 의견요청 등으로 초기 미끼(Decoy)메일을 발송한 후, 수신인이 관심을 보이는 응답메일을 보내왔을 때 악성코드를 보냈다.

하우리 측이 피싱 계정의 발신내역과 수신내역을 확인한 결과, 평균 25% 정도의 응답율이 확인됐다. 응답율은 수신자가 스피어피싱 메일을 받고 의심없이 발신자에게 회신을 메일을 보낸 수치다.

악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 형태로 유포됐다.

하우리 보안대응센터 관계자는 "이번에 확인된 스피어피싱 메일들은 예전의 악성코드 배포방식과는 완전히 다르다"면서 "대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고, 자연스럽게 응대하다가 악성코드 배포를 시도하기 때문에 정상적인 메일소통과 다르지 않아 더욱더 위험하다"고 말했다.

이어 "올해도 APT 공격 그룹의 스피어피싱 메일은 국내, 해외를 막론하고 지속적이고, 다양한 형태로 발송될 것으로 예상돼 메일 사용에 각별한 주의가 필요하다"고 당부했다.

/김다운 기자(kdw@inews24.com)