안랩 "北 해킹 '킴수키', 광범위한 피해 노리고 악성코드 다변화"

'킴수키' 공격 방식 분석 결과 공개...'폴리나' SW 취약점 악용한 공격 시도도 포착

[아이뉴스24 김혜경 기자] "킴수키 그룹은 명확한 타깃을 설정한 후 고도화된 공격을 진행하는 것으로 나타났다."

안랩은 북한 연계 해킹그룹 '킴수키(Kimsuky)'의 공격 방식을 분석한 결과를 24일 이같이 공개했다. 안랩은 "공격 방식 다변화가 예상되므로 조직과 개인은 최신 사이버 위협 정보를 습득하고 보안수칙을 지켜야 한다"고 설명했다.

악성코드 유포를 위해 제작된 악성문서와 악성파일 이미지. [사진=안랩]

공격 방식 분석을 위해 안랩은 유관 악성코드, C2 서버 등의 정보를 다양한 경로로 수집해 기존 공격 방식과 비교‧대조했다. C2 서버란 공격자가 원격에서 악성코드 유포, 정보탈취 등 공격을 수행하기 위해 사용하는 서버다.

분석 결과 웹브라우저 내 각종 정보를 유출하는 '인포스틸러'와 원격제어 악성코드인 'RAT'도 추가로 발견됐다. 공격자는 광범위한 피해를 유발하기 위해 공격에 활용하는 악성코드를 다변화하고 있는 것으로 보인다.

MS 오피스 관련 취약점인 '폴리나'를 악용한 공격 시도도 포착됐다. 폴리나는 지난해 1월 파악된 제로데이 취약점으로, 6월에 패치가 배포됐지만 보안패치를 적용하지 않은 곳은 취약점을 활용한 공격에 노출될 수 있다. 제로데이 취약점이란 아직 보안패치가 발표되지 않은 취약점을 뜻한다. 폴리나 취약점은 사용자가 악성 워드 파일을 열기만 해도 악성코드에 감염될 수 있다는 특징이 있다.

지난해 킴수키는 스피어피싱을 적극 활용한 것으로 나타났다. 스피어피싱이란 특정인이나 특정 조직을 겨냥해 악성코드 감염이나 피싱사이트 접속을 유도하는 공격 방식이다. 공격자는 타깃 조직‧개인과 연관성이 높은 주제로 좌담회와 자문요청서, 연구 결과보고서 등을 위장한 악성문서를 제작해 악성코드 유포에 활용했다.

킴수키는 2020년부터 특정 '키로깅' 혹은 '백도어' 악성코드를 사용하는 것으로 알려졌지만 공격에 활용하는 악성코드 종류를 늘린 것으로 나타났다. 키로깅이란 키보드 움직임을 탐지해 사용자 계정이나 계좌번호 등 데이터를 탈취하는 악성코드다. '뒷문'을 의미하는 백도어는 공격자가 추후 공격을 수행할 목적으로 시스템에 설치하는 악성코드다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]