北 김수키 조직, 주민등록등본 파일 사칭한 APT 해킹 시도

김평화 기자
입력 2020.02.07 18:01
북한 해킹조직 ‘김수키(Kimsuky)’가 통일부 산하 교육원 관계자를 사칭해 지능형지속위협(APT) 공격을 시도한 정황이 포착됐다. 김수키는 북한 정부가 배후로 추정된다. 지난해 12월 청와대 상춘재 행사를 사칭해 지능형지속위협(APT) 공격을 시도했던 만큼 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 6일 자사 블로그에 김수키 조직이 특정 교육원 관계자 주민등록등본 PDF 스캔 문서를 위장한 악성 파일이 APT 공격을 시도하고 있다고 밝혔다. APT는 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하는 방식을 말한다.

주민등록등본 파일을 실행하면 스캔 이미지 화면이 보인다. / 이스트시큐리티 블로그 갈무리
해커는 해당 악성 파일이 PDF 문서로 보이도록 ‘주민등록등본.pdf’라고 이름 붙인 후 다수 공백을 포함했다. 실제 확장자명(SRC)을 알아보지 못하도록 위장하기 위해서다. 만일 특정인이 해당 파일을 열어볼 경우 주민등록등본 사진이 뜨지만 그 순간 해당 PC는 악성코드로 오염된다.

ESRC에 따르면 해킹에 악용된 주민등록등본 파일은 2017년 발급된 서류다. 이번에 해킹돼 악용됐기보다는 특정 시점에 문서 주인 PC나 클라우드상에서 유출됐을 가능성이 높다. 혹은 전달 과정에서 타인의 부주의로 유출됐을 가능성도 있다.

ESRC는 이번 APT 공격이 지난해 12월 청와대 녹지원·상춘재 행사 견적서를 사칭한 APT 공격과 유사한 속성을 보인다고 밝혔다. 당시 김수키 조직은 ‘베트남 녹지원·상춘재 행사 견적서' 이름의 한글 파일을 특정인에게 메일로 보내 열어보게 한 후 악성코드를 배포하는 식의 공격을 시도했다.

문종현 ESRC 이사는 "주민등록등본을 악용한 이번 공격은 지난번 청와대 사칭 공격 때와 통신 기법과 코드 속성이 유사하다"며 "업그레이드된 버전이다"라고 설명했다. 이어 "다른 해커가 이같은 방식을 따라 하기 힘들기에 김수키 조직이 이번에도 배후에 있어 보인다"고 분석했다.

김수키 조직은 악성 파일명에 다수 공백을 포함해 PDF 파일인 것처럼 보이도록 유도했다. / 이스트시큐리티 블로그 갈무리
김수키 조직은 2014년 한국수력원자력을 해킹하며 유명세를 떨친 북한 배후의 해킹 집단이다. 지난해 4월10월에는 각각 통일 관련 기관을 사칭하며 사이버 공격을 시도했다. 올해 1월에는 문정인 대통령 통일외교안보특별보좌관 발표 내용을 사칭한 공격을 펼쳐 논란을 빚었다.

문 이사는 "이메일을 활용해 해킹하는 스피어 피싱 공격으로 이번 악성 파일을 유포할 가능성이 높다"며 "민간과 공공기관 관계자 모두 이메일로 의심스러운 파일이 오면 함부로 열어보거나 실행하지 않아야 한다"고 조언했다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기