‘김수키’ 새 악성코드로 北정보수집기관 겨냥 ‘사이버 공격’ 포착

게티이미지뱅크

북한 해커들이 북한 관련 정보를 수집하고 분석하는 기관들을 겨냥해 새로운 악성코드를 이용한 사이버 공격을 시도한 정황이 포착됐다.

10일 자유아시아방송(RFA)에 따르면 미국 사이버보안업체 ‘센티넬원’은 최근 북한 해킹 조직인 김수키가 북한 관련 정보나 현황을 다루고 분석하는 업체를 겨냥해 새로운 스피어 피싱(Spear Phishing) 활동을 벌였다고 밝혔다. ‘스피어 피싱’은 해커가 신뢰할 수 있는 개인이나 단체로 가장해 이메일로 접근한 뒤 문서 파일을 보내는 것으로, 이 파일을 클릭하면 비밀번호 등 개인정보가 빠져나간다.

북한 해커들은 이번 사이버 공격에서 ‘레콘샤크’라고 불리는 새로운 악성코드를 사용했는데, 지난해 사이버 공격에서 사용하던 ‘베이비샤크’라는 멀웨어(악성 소프트웨어)의 변종인 것으로 밝혀졌다. 센티넬원은 김수키가 북미와 유럽, 아시아의 정부기관과 연구센터, 대학기관에 소속되어 있는 개인들에게도 해당 공격을 진행했다고 전했다.

해킹에 미끼로 사용된 문서 형태. 센티넬원 홈페이지 캡처

센티넬원의 연구원인 톰 헤겔(Tom Hegel)과 알렉산다르 밀렌코스키(Aleksandar Milekoski)는 “합법적으로 보이는 내용과 문구, 디자인 요소들을 사용해 이메일을 만들기 때문에 공격 대상자가 이를 열어볼 가능성이 높다”며 “특히 악성문서가 첨부된 이메일에는 실존하는 인물의 이름을 사용한다”고 설명했다.

센티넬원에 따르면 이 문서를 열 경우 수신자의 컴퓨터에 백도어(backdoor)가 설치되면서 원격으로 제어할 수 있기 때문에 개인정보에 접근이 가능해진다. 백도어 공격은 주인 몰래 뒷문으로 드나드는 것을 비유한 말로 보안 허점을 이용해 인증 절차 없이 공격 대상의 시스템에 접근해 가하는 공격을 의미한다.

이어 이들 연구원은 “레콘샤크는 정보유출 외에도 피해자가 어떤 종류의 탐지기능을 활용하는지 파악하고, 그에 맞춘 페이로드를 추가로 설치하기도 한다”며 “베이비샤크보다 능동적이고 맞춤형 공격을 실시할 수 있다”고 말했다.

김수키는 2012년부터 활동을 시작한 북한 정찰총국 산하 해커조직으로, 전 세계 기관과 개인을 대상으로 사이버 공격 활동을 벌이고 있다.

곽선미 기자