안랩 “해킹집단 ‘김수키’ 공격, 정교하게 진화 중”

24일 ‘김수키 그룹 2022년 동향 보고서’ 발표
특정인 사전 조사해 ‘맞춤 공격’ 수법 증가

안랩이 24일 해킹집단 ‘김수키’의 공격이 ‘목표(타깃) 맞춤형’으로 정교하게 진화하고 있다는 보고서를 발표했다. 사진은 ‘김수키’가 제작한 특정인 공격용 문서들. 안랩 제공

북한과 연계된 것으로 알려진 해킹 집단 ‘김수키’(Kimsuky)의 공격 방식이 보다 정교해지고 있는 것으로 드러났다. 보안기업 안랩은 24일 조직의 보안관리자들을 위한 보안 위협 전문 플랫폼 ‘안랩 티아이피(TIP)’을 통해 ‘김수키 그룹 2022년 동향 보고서’를 발표했다. 보고서는 최근 이 해킹집단의 공격이 ‘목표(타깃) 맞춤형’으로 정교하게 진화하고 있으며 활용하는 악성코드도 다양해지고 있어 피해가 우려된다고 분석했다.

지난해 ‘김수키’는 공격 목표로 설정한 개인이나 조직을 속이기 위해 이에 최적화된 ‘스피어피싱’ 수법을 적극적으로 활용했다. ‘스피어피싱’은 특정인이나 특정 조직을 표적으로 정교하게 제작한 메일 등을 보내 악성코드 감염이나 피싱(사기) 사이트 접속을 유도하는 공격 방식이다. 안랩은 ‘김수키’가 공격 목표와 연관성이 높은 주제로 좌담회∙자문요청서∙연구 보고서 등을 위장한 악성 문서를 제작해 악성코드 유포에 활용했다고 밝혔다. 문서의 정교함으로 볼 때 ‘김수키’가 공격 대상에 대한 사전 조사를 치밀하게 했을 것으로 보고 있다.

또 공격에 활용하는 악성코드의 종류도 다양해지고 있다. ‘김수키’는 2020년 즈음부터 키보드의 움직임을 탐지하는 키로깅이나 ‘뒷문’을 통해 공격하는 백도어 악성코드 등 특정 코드를 주로 사용한다고 알려졌다. 하지만 최근 이외에도 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드나 원격제어 악성코드 등 새로운 공격 방식이 발견되고 있다고 한다. 안랩은 ‘김수키’가 더 광범위한 피해를 위해 악성코드를 다변화하고 있는 것으로 분석했다. 또한 엠에스(MS) 오피스와 같은 유명 소프트웨어의 취약점을 활용한 공격 시도도 발견됐다.

안랩은 피해 예방을 위해 조직의 보안담당자들이 운영체제나 소프트웨어의 보안 패치를 바로 적용하고, 최신 공격 동향을 살펴 보안 정책을 수립한 뒤 내부 임직원 보안교육 등을 실시해야 한다고 권고했다. 또 개인은 출처가 불분명한 메일 속 첨부 파일이나 링크의 실행을 자제하고, 보안 패치를 최신 버전으로 적용하고, 로그인 때 이중인증을 사용할 것을 당부했다.

임지선 기자 sun21@hani.co.kr